De acuerdo con WhiteHat Security, garantizar la seguridad web es un dolor de cabeza cada vez más intenso. Un reciente informe de esta firma indica que cerca del 90% de las aplicaciones web corren el riesgo de ser hackeadas. Esto a pesar de los esfuerzos realizados por las firmas proveedoras de hospedaje, los motores de búsqueda y los consultores de seguridad.

El mayor riesgo que enfrentan los sitios web es la facilidad de los hackers para penetrar las áreas donde se encuentra la información sensible y robarla. Además hay una creciente tendencia a embeber código malicioso (cross-site scripting, XSS) dentro de los sitios legítimos para capturar la información del usuario. En la investigación realizada por WhiteHat Security, el 75% de los sitios escaneados contenía algún código de este tipo. A este riesgo, la también se une la creciente tendencia por falsificar sitios web y hacerlos pasar con auténticos.

Fuente: WhiteHat Security

El Laboratorio de Seguridad de Websense descubrió un nuevo troyano, distribuido vía correo electrónico no deseado y que invita a los usuarios a descargar una tarjeta de felicitación. El mensaje que circula en toda América Latina se encuentra en español bajo el título:

“Espero que te guste”

El correo actúa como un señuelo para que los usuarios pulsen sobre un link y descarguen la postal de felicitación. Existen varias versiones del mensaje no deseado, pero la diferencia principal es la ubicación donde se almacena el código malicioso. En todas las versiones descubiertas hasta el momento, el nombre del archivo siempre es “mexico.exe”, y el MD5 (algoritmo del resumen del mensaje 5)es “ce073c460ec25d7e40efe3f717f7 5c38”.

En todas las muestras el archivo se ha almacenado en sitios Web cuya seguridad ha sido comprometida.

Si los usuarios pulsan sobre la liga y corren el código, se abre una ventana del buscador en Univision.com como medio para esconder lo que está sucediendo en el fondo. El código malicioso también se conecta a uno o más sitios Web adicionales para descargar un archivo binario adicional, “file56.gif ”, que en realidad es un ejecutable de Windows.

El código “file56.gif ” puede provenir de cualquiera de los cinco sitios comprometidos, y se baja al directorio del sistema32 de Windows, con el nombre de “html.txt”; luego, es renombrado como “html.exe” y corre en el equipo.

La carga del código está escrita en Delphi y comprimida con RLpack, la cual deshabilita el Administrador de Tareas, borra el archivo huésped, y cambia algunas opciones de arranque y del menú de inicio que incluye un componente que roba información.