me la pelannn
- Otras noticias
Actualización acumulativa para servidor JRun 4.0
El robo de portátiles se dispara 
Desarrollan código cuántico contra los intrusos informáticos
0 day en Microsoft DirectX
Microsoft aún no ha sacado ningún parche para la nueva vulnerabilidad de "PowerPoint"
Falso boletín de seguridad de Microsoft
Crece el numero de sitios vulnerados
Múltiples vulnerabilidades en Firefox, Thunderbird y Seamonkey
'Netsky.B' supera a 'Mydoom' y se convierte en el virus más difundido en España a través del 'e-mail' en el último año
Ejecución remota de comandos en Apache Struts
- En el foro
-
malware
El Banco de la India, foco (involuntario) de infección
03 Sep 2007 | HISPASEC.COM
SunBelt destapaba el problema. La página web del Banco de la India mostraba en su código varios IFRAME inyectados, de forma que quien la visitaba acudía (de forma automática y transparente) también a otras webs sin "quererlo". Desde esos "marcos" (IFRAMES) "ocultos" en la web, al ser cargados con el navegador, se intentaban aprovechar varias vulnerabilidades de sistema conocidas para descargar y ejecutar troyanos bancarios.
Es un tipo de ataque muy similar al que describimos aquí en junio de este mismo año y que afectó a más de 11.000 páginas europeas. En esa ocasión, Mpack estaba detrás de este ataque, y consiguieron tal volumen de webs comprometidas porque se tuvo acceso a un servidor italiano que las alojaba a todas.
En esta ocasión, parece que han tenido acceso de alguna forma al servidor del Banco de la India y los Windows no actualizados que la visiten quedaban infectados por hasta 22 tipos de malware distintos (la mayoría destinados a robar contraseñas o enviar correo basura). El ataque consiste en una primera descarga y ejecución de un "loader.exe" y es este (una vez con el control de la víctima) quien se encarga de descargar otro tipo de malware e infectar al sistema. Son varios los IFRAME incrustados, y por tanto varias las webs que intentan de alguna forma infectar al sistema a través de código JavaScript ofuscado.
Algunas URL de los atacantes han sido ya desactivadas, pero otras permanecen todavía online. El Banco de la India ha "limpiado" ya su página web, pero el ataque y los IFRAME han permanecido entre 5 y 10 horas en su código web (en horario comercial de la India), accesible a todo visitante.
Los datos robados van a parar a un FTP en Rusia. Como curiosidad, uno de los troyanos que infecta a las víctimas busca archivos catalogados como "en cuarentena" por el motor antivirus de turno en los sistemas de los infectados y los sube al servidor FTP del atacante.
Siempre hemos hablado de la posibilidad de que páginas de confianza sufran ataques y se conviertan en foco de infección. En esta ocasión llama la atención que sea precisamente la página de un importante banco la que haya visto eludida toda su seguridad y convertido en un irónico foco de infección de troyanos bancarios.
Aunque queramos pensar que la importancia (y presupuesto) de una web está indiscutible y directamente relacionada con su nivel de protección, desgraciadamente no siempre es así. La seguridad se fundamenta en muchos factores, y no siempre el dinero podrá protegerlos todos eliminando cualquier riesgo. Este no es el primer ejemplo ni será el último, desde luego.
En cualquier caso, el Banco de la India se enfrenta ahora, una vez que (tras un tiempo quizás excesivamente largo) ha eliminado el foco, a un serio problema de confianza ante sus clientes y a una profunda revisión de sus sistemas de seguridad (e incluso, de su plantilla). - Boletín
Si quieres recibir cada semana las noticias más interesantes suscríbete a nuestro boletín.
- Comentarios
- LaFlecha.net no se hace responsable del contenido de los comentarios publicados.Editar | Borrar | #1 | 09 Oct 2008, 01:43
Anónimo 
Entérate de cuándo hay nuevos comentarios - Publicidad
- Ahora en LaFlecha puedes encontrar Cursos y Másters
