Cada poco tiempo hablamos sobre cómo los hackers profesionales y amateurs utilizan herramientas automáticas que pueden identificar vulnerabilidades de seguridad en un ordenador y explotarlas independientemente de que tengan pocos o incluso sin conocimientos técnicos.  Estos “script kiddies” que están utilizando estos kits están causando estragos en Internet, ya que muchos de los kits están disponible en foros underground completamente gratis.  Hoy, nos hemos encontrado con un iframe embebido en el sitio web del Departamento del Tesoro de Estados Unidos. Este iframe (imagen más abajo) se ha utilizado para descargar de forma oculta uno de mejores exploit kits para acceder al site.

post1
Web del Tesoro de USA - iFrame infectado

Una vez se accede al sitio web del Tesoro (treas.gov, bep.gov, o moneyfactory.gov),  el iframe redirige a las víctimas a través de servidores de estadísticas y paquetes de exploits que pueden llevar a la víctima a un segundo nivel de ataque.

Web del Tesoro de USA hackeada
Web del Tesoro de USA hackeada

En mi caso, el exploit kit pensaba que Java era el mejor método de infectar mi máquina de pruebas, aunque utilizan diferentes métodos de explotación por parte de estos kits (PDF principalmente). Aún no está muy claro cuál era el punto de entrada al sitio web del Tesoro, pero estas amenazas normalmente lo hacen a través de sitios web que tienen su software del servidor sin actualizar, aplicaciones web, y/o vulnerabilidades en las aplicaciones de seguridad como inyección de SQL.

Una vez que estás infectado, tu navegador te redirige a anuncios y a otras cosas más desagradables, como falsos antivirus:

post3

Me gustaría utilizar este post para recordar a todos a actualizar tus aplicaciones web y servidores web tan frecuentemente como lo harías en tu propio ordenador.  De este modo, puedes prevenir que tu web sea hackeada y utilizada para propagar estas amenazas a través de Internet.  Tú, tus visitas, y las personas que naveguen en Internet estarán un paso más cerca a una navegación segura.