Varias empresas de seguridad han lanzado alertas sobre un ataque a gran escala a los usuarios de Internet.
Se trata de servidores web, sobre todo italianos, que infectan con troyanos a todos sus visitantes. Se trata de páginas web inofensivas sobre turismo, hoteles, automóviles, cine, etc. Estos servidores han sido hackeados, y en vez de desfigurar las páginas, los hackeadores han añadido una pequeña linea de código en las páginas web en forma de un iframe.
Para los webmasters, es dificil de detectar este código ya que se confunde con el código de la página.
Cuando un usario abre la página, el código en el iframe descarga desde otro servidor un toolkit de web-exploits, MPACK. Este toolkit es muy poderoso y dependiendo del browser que se usa (Internet Explorer, Firefox u Opera) aprovecha las diferentes vulnerabilidades para injectar código maligno en la computadora del usuario. También aprovecha las vulnerabilidades de QuickTime.
MPACK usa vulnerabilidades conocidas que generalmente ya fueron solucionadas mediante parches, pero es bien conocido que la mayoría de los usarios tienen sus programas desactualizados.
El troyano que es inyectado puede grabar los datos que se ingresan en el teclado y busca por ejemplo datos y contraseñas de bancos. Panda Software ya ha presentado un análisis sobre MPACK y aconseja a los webmasters bloquear accesos a la IP 64.38.33.13.
Microtrend ha publicado un screenshot con el iframe y aconseja a los webmasters a controlar sus códigos fuentes, y en caso de que aparezca este iframe a borralo inmediatamente.
El siguiente diagrama de Microtrend muestra como se instala el troyano en la computadora del usuario:
Si se encuentran archivos con estos iframes, entonces existen indicios de que el servidor web no es seguro y que alguien puede ingresar y controlar el servidor. En ese caso se debe analizar cuidadosamente, como los intrusos han logrado acceder al sistema.
Via heise online