Investigadores de ESET han analizado una campaña de propagación de malware organizada, que roba las credenciales bancarias de usuarios que han visitado ciertos sitios de pornografía de Japón.

El malware utilizado se denomina Win32/Aibatook, y apunta a usuarios de Internet Explorer que son clientes de bancos japoneses en general, y en particular a visitantes de algunos de los sitios pornográficos más populares del país. Tras visitar cualquiera de ellos, los usuarios pueden ser redirigidos a una página con un exploit que trata de explotar la vulnerabilidad en Java CVE-2013-2465.

Por supuesto, es importante señalar que cualquier sitio puede estar potencialmente comprometido y ejecutando código malicioso diseñado para infectar la computadora víctima; no es que un sitio con contenido para adultos sea más peligroso para la computadora que, por ejemplo, el de un canal de televisión o uno dedicado a un lenguaje de programación.

Sin embargo, los cibercriminales con ganas de acceder a cuentas bancarias no dudan a la hora de comprometer páginas de pornografía, ya que estas reciben mucho tráfico y por lo tanto garantizan que más víctimas se infecten. Lo que sí puede resultar inusual de este caso es ver que se explota sólo una vulnerabilidad, en vez de utilizarse -como en muchos de los casos actuales- un exploit kit para ejecutar una batería de ataques contra las computadoras visitantes, buscando uno que dé en el blanco.

De todas formas, los ciberdelincuentes detrás de este ataque parecen pensar que este modus operandi funciona lo suficientemente bien, y un mensaje de error 404 es visible cuando el navegador es redirigido a un sitio de un tercero:

error-exploit
Pero una mirada rápida al código fuente de la pagina web revela que es más que un siempre error - y que aloja de forma secreta código que ejecuta una applet maliciosa de Java:

applet-javaEn un probable intento de evitar ser detectado, el código contiene un contador que parece estar diseñado sólo para insertar una parte del HTML en una cantidad limitada de víctimas cada día. Una vez instalado, el malware puede comenzar a hacer el resto de su "trabajo sucio": esperar a que las potenciales víctimas hagan login en bancos usando Internet Explorer, el navegador más utilizado en Japón. La siguiente captura es un ejemplo de un acceso a home banking japonés:

banco-japonEn el ejemplo de arriba, Aibatook ha inyectado silenciosamente una falsa página de login una vez que el usuario accedió al sitio del banco Japan Post, en la que se pide el ingreso de datos personales para una actualización de sistema. La información robada es entonces enviada al atacante a través de un servidor C&C (Comamnd and Control).

Curiosamente, si el usuario visita la sección del sitio original del Japan Post que da información a sus clientes sobre los peligros de los ataques de phishing, es redirigido nuevamente a la página de login, antes de que tenga la chance de ver algún aviso de seguridad.

En los meses recientes, los atacantes detrás de Aibatook crearon nuevas versiones del malware, capaces de robar credenciales de usuarios de servicios de alojamiento web y venta de dominios, que cambiaron de Delphi a C++ como lenguaje de programación utilizado. Es probable que clientes de alrededor de 90 sitios sean blanco de estos cibercriminales que roban información.

Vulnerabilidad en Java, ¿la culpable?

La vulnerabilidad en Java explotada por este ataque fue parcheada por Oracle en junio de 2013.

En un mundo ideal, podrías pensar que porque un parche fue lanzado, nadie seguiría siendo víctima meses después. Sin embargo, está claro que muchos usuarios no protegen a sus computadoras con las últimas actualizaciones de seguridad, abriéndole a los ciberdelincuentes la ventana para que las infecten y roben dinero de cuentas online.

Lo cierto es que un equipo con un sistema desactualizado está expuesto a un gran riesgo, y le facilita la tarea a los atacantes. La gran mayoría del software que utiliza una PC tiene fallas, ya sean conocidas o no, aunque en una gran cantidad de casos no son serias y no pueden ser fácilmente explotadas.

Pero cada código o funcionalidad adicional que añades incrementa las posibilidades de un potencial riesgo de seguridad, mientras que una superficie menor de ataques dificulta la explotación de vulnerabilidades, y por lo tanto ayuda a mitigar el riesgo. Con eso en mente, tal vez deberías preguntarte: ¿necesito realmente ejecutar Java en mi navegador? Si quieres saber cómo desactivarlo, tenemos un tutorial que te lo indica.

Es probablemente la plataforma más utilizada para ataques, y de hecho aquí puedes ver las vulnerabilidades de Java más explotadas en sitios de Latinoamérica.

Si bien es cierto que muchas aplicaciones necesitan Java, pienso que la mayoría de los usuarios de computadoras podrían seguir navegando sin tenerlo habilitado. Incluso si lo necesitaras para uno o dos sitios o aplicaciones específicos, sería mejor -desde el punto de vista de la seguridad- que desactives Java de tu navegador predeterminado y utilices uno diferente cuando tengas que acceder o usar algo que lo requiere.

Si no estás seguro de necesitar Java, pregúntale a tus referentes de soporte o desactívalo y fíjate si algo deja de funcionar como lo hace habitualmente. Si no notas ninguna diferencia en un navegación diaria, lo más probable es que no estuvieras necesitando desde un principio.

Y si decides desactivarlo, ¡felicitaciones! -acabas de hacer tu computadora más segura.

No es que esté recomendando que ahora vayas a visitar sitios pornográfícos japoneses, claro...

Traducción del post de Graham Cluley en We Live Security.