El ataque masivo que ha infectado a las PCs al engañar a los usuarios para que hagan clic en vínculos falsos de mensajes de CNN.com no da muestras de terminar dentro de poco, dijeron el viernes investigadores de seguridad.
De acuerdo con MX Logic Inc., spam que se hace pasar por las listas del Top 10 de CNN.com estuvo cerca de alcanzar los 11 millones de mensajes por hora a primeras horas del jueves, pero mantuvo altos volúmenes a lo largo del viernes. El proveedor de seguridad de Colorado dijo que habían rastreado un promedio de 8 millones de mensajes por hora desde la media noche.
El vicepresidente de información de seguridad de MX Logic, Sam Masiello, declaró que la tendencia “apunta a un lento, pero constante descenso” desde el pico de las 11 am (Tiempo de la Montaña) del día anterior. Masiello dijo que el spam había cambiado desde que había sido lanzado por primera vez el jueves. “También hemos visto muchas modificaciones desde hace un par de días”, dijo en una entrada publicada en el blog de MX Logic el viernes. Donde antes podía leerse “CNN.com Daily Top 10” en el asunto, y vinculaba a un único archivo en sitios que hospedan malware, ahora el spam dice “CNN Alerts: My Costum Alert”, y usa una variedad de nombres en los URL maliciosos. “Probablemente, esto sucede en respuesta a la atención de los medios y la concientización que se ha llevado a cabo en el último par de días”, especuló Masiello.
También el viernes, Websense Inc. reportó que sus investigadores han visto al ataque mutando, donde no sçólo se puede leer “CNN Alerts, My Costum Alert” en el asunto, sino también usando noticias seleccionadas de CNN para que los ataques parezcan más convincentes.
Los usuarios que hicieron clic en el vínculo de “Full Story” (o “leer el resto de la noticia”) fueron redireccionados a un sitio falso de CNN, donde se les dijo que debían descargar una actualización del Flash Player, el popular reproductor de medios de Internet de Adobe System Inc. para ver un clip de video de CNN. Websense dijo que han visto rastros de la campaña en spam en blogs.
Si los usuarios estuviesen de acuerdo con descargar la versión falsa de la actualización de Flash, se verían atrapados en un círculo vicioso, donde darle clic a “Cancelar” en la primera caja de diálogo produciría que saliera otra ventana. Darle clic a “Cancelar” en esta ventana, haría que el usuario regresara a la primera caja de diálogo. Las únicas opciones para los usuarios en este punto eran cerrar el navegador o resignarse y descargar el malware.
MX Logic agregó que ha visto cómo URLs en el spam llevan a dominios legítimos que probablemente han sido comprometidos, y mencionó a una compañía basada en Gran Bretaña que se dedica a materiales para techos como ejemplo.
A principios de semana, el investigador de seguridad búlgaro, Dancho Danchev, había encontrado más de 1.000 dominios comprometidos que estaban siendo utilizados para server al Flash falso. En un correo electrónico, Danchev dijo que en la mayoría de los casos, no pudo encontrar ninguna característica compartida por los sitios atacados, como que todas estuviesen hospedadas en un único proveedor de servicios de Internet.
“Mi suposición es que se tomaron el tiempo y el esfuerzo para hacer un reconocimiento que fuesen vulnerables a inclusión remota de archivos, o cualquier otro tipo de falla que fuese explotable remotamente en sus aplicaciones Web que le permitiera tener a alguien que hospedara localmente todos los archivos maliciosos”, dijo Danchev. “No me sorprendería que alguien básicamente haya recorrido todas las contraseñas de Cpanel que obtuvo a través de su botnet, o a través del acceso a una botnet que alquiló temporalmente”.
Cpanel, un popular programa de control de servidor, ha sido fijado como objetivo por los ladrones de contraseñas debido al acceso que dichas contraseñas proveen a los sites.
Por Gregg Keizer
Computerworld (US)