Blogs de WordPress, responsables del troyano Flashback

Iniciado por wolfbcn, 22 Abril 2012, 01:51 AM

0 Miembros y 1 Visitante están viendo este tema.

wolfbcn

Hasta el día de hoy, ha sido un misterio como Flashback se había comenzado a expandir, y el motivo por el cual la expansión se había realizado con tanta rápidez, algo que los expertos en seguridad no veían del todo normal debido al corto espacio de vida que poseía el virus.

Sin embargo, parece ser que algunos expertos de Kaspersky, han encontrado el motivo de esta rápida expansión: se cree que unos blogs de WordPress estadounidenses, que fueron secuestrados, pudieron ser el origen del troyano. Los visitantes de estos blogs, eran obligados a visitar sitios web que poseían el malware, es decir, su navegación web era redirigida hacia otra página web que contenía el troyano.

Aunque muchos investigadores no creen que esta haya sido la única forma empleada por los desarrolladores del virus para llevar acabo su distribución.

Se cree que en un principio, desde septiembre del año pasado, y hasta febrero de este año, el programa malicioso se ha distribuido utilizando las redes sociales, solicitando al usuario la instalación de un falso Adobe Flash Player.

Sin embargo, a partir de febrero, la política por parte de los creadores del virus cambió, y comenzaron a utilizar los ataques dirigidos sobre los equipos Mac, aprovechando tres vulnerabilidades comunes de Java, a través de sitios web cuya seguridad, había sido comprometida.

El ataque dirigido, el más efectivo

Según cifras que manejan en Kaspersky, utilizando los ataques dirigidos, han conseguido infectar a más de 700.000 usuarios poseedores de un Mac. En relación con los blogs de WordPress, las cifras no son seguras, y la cantidad oscila entre 30.000 y 100.000 infecciones.

Otro dato que es necesario añadir, es que el 85% del total de ordenadores Mac infectados con el virus, pertenecen a Estados Unidos.

Kaspersky además, ha informado que de más de 200.000 usuarios que han utilizado su herramienta para comprobar si su Mac está infectado, únicamente, unos 3.000 usuarios han resultado estarlo, una cantidad cercana al 2%. Se cree que durante los próximos días, la cantidad de ordenadores infectados siga reduciéndose.

Administradores victimas de ToolsPack

Se cree que los blogs de WordPress que se vieron afectados, fue por la instalación de un paquete falso de herramientas y utilidades por sus administradores, en concreto, se cree que ToolsPack, pudo ser el origen de la infección en el caso de los blogs. El "paquete", instalaría un script en el sitio web, que sería capaz de redirigir toda la navegación web del blog, hacia una página elegida por el creador del script, y que sería la que contendría el virus.

Apple y su "capacidad" de reacción

Ha quedado patente que, la capacidad de reacción de Apple ante una circunstancia como tal, ha sido nula. El motivo ha sido que la compañía, tiene la costumbre de crear sus propios parches para las vulnerabilidades detectadas en Java. El problema es que estos parches tardan más en estar disponibles que los propios que Oracle suministra. Por lo tanto, la instalación del parche de Oracle, habría resuelto casi por completo el problema y haber evitado la infección.

Ha quedado demostrado que los creadores de virus, utilizando software multiplataforma, como ha sido Java en este caso, son capaces de infectar Mac OS de forma sencilla.

¿La invulnerabilidad del sistema operativo de Apple se ha convertido en un mito?

FUENTE :http://www.redeszone.net/2012/04/21/blogs-de-wordpress-responsables-del-troyano-flashback/
La mayoria pedimos consejo cuando sabemos la respuesta, pero queremos que nos den otra.

erawlam

Han publicado más cosas sobre este tema. En concreto dicen que la propagación del virus es a través de la inyección de código javascript es una de las consecuencias de no actualizar WordPress.

Se piensa que uno de los plugins que permite la inyección de código inicial es ToolsPack.

En esta noticia, además, dicen cómo averiguar si el equipo está infectado:

http://cert.inteco.es/cert/Notas_Actualidad/wordpress_inyeccioacuten_coacutedigo_malicioso_virus_flashback_20120425?postAction=getLatestInfo

Saludos,