Durante el último tiempo se ha podido ver cómo diferentes servidores legítimos de Latinoamérica son comprometidos para luego utilizarlos como medio de infección. Considerando los ya conocidos iframes, hoy hablaremos sobre datos relevados a partir de información de sitios de Latinoamérica comprometidos con este tipo de códigos maliciosos.
¿Qué es un iframe y como son utilizados por ciberdelincuentes?
Los iframes permiten insertar código HTML dentro de un sitio web. Estos métodos son ampliamente utilizados por ciberdelincuentes para comprometer sitios web legítimos con cierta reputación para así explotar vulnerabilidades, o incluso, descargar códigos maliciosos desde servidores remotos. De esta manera, transforman sitios web legítimos en medios de infección.
De acuerdo a información relevada a partir de nuestros sistemas, se obtuvieron algunos datos particulares que permiten observar cómo este tipo de actividades no legítimas están afectando a los servidores y usuarios de la región.
¿Cómo se ven afectados los servidores web latinoamericanos?
Considerando un determinado período de días durante el mes de Abril, y contemplando solo aquellas detecciones que indican presencia de iframes, se pudieron obtener algunos datos estadísticos que valen la pena analizar: de acuerdo a los datos relevados, más del 42% del total de servidores vulnerados corresponden a Brasil. Luego continúan Argentina con el 19% y México con más del 11% del total de servidores vulnerados. A continuación se adjunta un gráfico con más detalles:
Continuando con el análisis, se determinó la cantidad de códigos maliciosos dispersos a lo largo de los ya mencionados servidores. Siempre contemplando el malware del tipo iframe, se determinó que las muestras alojadas siguen un lineamiento similar al de los servidores vulnerados. Específicamente, más del 36% del total de las muestras analizadas se encuentran alojadas o son propagadas a través de servidores legítimos de Brasil. A esta disposición, le sigue Argentina con casi el 19% y México con más del 13%. Estos datos se complementan con los antes expuestos, ya que existen más códigos maliciosos alojados en servidores brasileños debido a que existen más de ellos vulnerados.
Anteriormente hemos informado de casos tales como los iframes en Facebook o la inyección masiva de iframes en sitios de e-commerce. Sin embargo, en esta oportunidad consideramos la naturaleza de los servidores vulnerados contemplados en este estudio.
Estimando los nombres de dominio de cada servidor, se realizó una clasificación donde se determinó si los sitios web pertenecen a organizaciones, entidades educativas o gubernamentales. Más del 11% de los servidores vulnerados corresponden a organizaciones. El 3% del total de los servidores se vinculan a entidades gubernamentales y cerca del 2% representan entidades educativas. Estos números son preocupantes debido a que este tipo de sitios web poseen una reputación destacada y el flujo de visitas sobre los mismos representa un potencial riesgo para los usuarios que la visitan.
Es importante comenzar a tener en cuenta que esto representa un potencial riesgo para los usuarios. Desde ESET Latinoamérica recomendamos a los usuarios que utilicen un software antivirus con capacidad de detección proactiva para estar protegidos frente a este tipo de amenazas. En el caso de aquellos que administran sitios web, es posible verificar si el sistema ha sido comprometido.
Al observar estas cifras y tomar en consideración los riesgos a los que se expone tanto a los usuarios como a la reputación de las organizaciones, que claro que la seguridad debe gestionarse. con el objetivo de no ser victima de ataques informáticos que inclusive pueden utilizar los recursos propios de las organizaciones para poder propagarse y tener éxito.
Fernando Catoira
Analista de Seguridad