A la hora de hablar de los ataques y amenazas a los que un usuario se enfrenta cada día, muchas veces se hace hincapié en aquellos que son más o menos predecibles como, por ejemplo, los ficheros maliciosos adjuntos en un correo electrónico. Si bien siguen estando muy presentes (a las diferentes variantes de ransomware nos remitimos), existen muchos otros vectores de ataque usados por los delincuentes; quizá uno de los más peligrosos, por lo difíciles de detectar que suelen ser de cara al usuario, son aquellos que usan scripts.
Cómo funciona un script malicioso
Son porciones de código que pueden estar ocultas en webs completamente legítimas, cuya seguridad fue comprometida convirtiéndolas en cebos perfectos para las víctimas, que no van a sospechar nada ya que están visitando un sitio de confianza. De esta forma, los delincuentes pueden ejecutar código malicioso en los sistemas de los usuarios aprovechando alguna de las múltiples vulnerabilidades que pueden tener, tanto en los navegadores como en el propio sistema o en aplicaciones de terceros.
Si repasamos ejemplos recientes podremos ver cómo desde hace años los delincuentes están usando los conocidos como kits de exploits para automatizar estos procesos de infección. Su funcionamiento es relativamente sencillo y consiste en comprometer la seguridad de una web legítima (o directamente crear la web maliciosa y redirigir a ella desde otras ubicaciones) e instalar alguno de los kits de exploits existentes. A partir de este momento se puede automatizar la detección y explotación de vulnerabilidades, conforme se detectan en los usuarios que acuden a esa web.
Las campañas de malvertising son un claro ejemplo: publicidades insertadas en sitios web que tienen código malicioso insertado. En caso de que un usuario haga clic, el cibercriminal podría tomar el control del dispositivo y ejecutar diversos ataques. Tal fue el caso en Forbes.com, que tuvo que eliminar anuncios maliciosos de ocho páginas de su sitio que permitían la ejecución de los exploit kits Neutrino y Angler.
En este punto, el código JavaScript, que muchas veces se encuentra ofuscado, se encarga de descargar y ejecutar lo que se conoce como payload, que no es otra cosa que un código malicioso capaz de aprovechar estas vulnerabilidades e infectar el sistema del usuario con el malware que el delincuente haya elegido. Todo esto se realiza de forma casi imperceptible para el usuario, por lo que supone un riesgo considerable a la hora de navegar por la web.
El motivo por el que se consigue la ejecución de este tipo de códigos de forma automática y sin la intervención del usuario tiene mucho que ver con los permisos que se otorgan cuando se configuran los sistemas. Aun a día de hoy, el número de cuentas de usuarios con permisos de administrador en sistemas Windows sigue siendo abrumador, y esto es totalmente innecesario en la mayoría de situaciones con las que alguien va a lidiar en su día a día.
Esto, unido a una mala configuración de alguna de las medidas de seguridad que incorpora el propio sistema Windows, como el UAC, hace que la gran mayoría de estos códigos maliciosos puedan campar a sus anchas en cientos de miles de ordenadores cada día. Tan solo con que se configurase esta capa de seguridad a un nivel medio/alto, se evitarían bastantes infecciones de este tipo, siempre que los usuarios sean conscientes de la importancia de leer las ventanas de alerta que muestra el sistema y no cometer el error cerrarlas o, peor aún, pulsar sobre el botón “Aceptar”.
Cómo protegerte de scripts maliciosos
Para evitar este tipo de ataques, los usuarios han de tener en cuenta de que no existe la Web 100% segura en Internet y que deben tomar medidas para protegerse. La actualización del sistema operativo y de aquellas aplicaciones más vulnerables ante estos ataques (navegadores, Flash Player y Java, principalmente) resulta crucial para mitigar estos ataques. Pero a veces esto no es suficiente y es necesario contar con una solución de seguridad que sea capaz de detectar este tipo de scripts maliciosos, no solo los que utilicen JavaScript sino también los que usen PowerShell.
Conclusión
Sabemos que los scripts maliciosos hace años que están siendo utilizados por los ciberdelincuentes para propagar todo tipo de amenazas como troyanos, ransomware o bots. No obstante, ahora cuentas con medidas de seguridad adecuadas para, como mínimo, mitigar el alcance de este tipo de ataques. Tan solo debes tomarte la molestia de configurar aquellas medidas de seguridad que te protegen frente a un ataque de este tipo.