Miles de sitios web legítimos fueron comprometidos al inicio del año con el objetivo de ser fuentes de malware.

Parecía que la explotación de vulnerabilidades de Inyección SQL provenía de ataques automatizados. El mecanismo exacto no era claro hasta que a principios de esta semana, cuando los investigadores de seguridad descubrieron un ejecutable malicioso vinculado al ataque en un sitio de hackers.

La herramienta hacker utilizaba motores de búsqueda para encontrar los sitios web inseguros, para luego intentar explotar su vulnerabilidad mediante un ataque de inyección SQL. El exploit incluía una serie de comandos de SQL que intentaban inyectar un script tag en cada página HTML del website.

La herramienta - cuya interface está escrita en chino - fue programada para insertar una etiqueta con el mismo archivo malicioso de JavaScript presente en el ataque de enero, existen sólidas pruebas de que estaba, al menos parcialmente, detrás de dicho asalto.

La herramienta ejecuta un script llamado pay.asp, alojado en un servidor en China. Esto sugiere que los hackers que efectuaban el ataque llevaban la cuenta de la cantidad de sitios que habían comprometido, a fin de determinar la cantidad que iban a recibir como pago.

Análisis más a fondo sobre la herramienta por parte de los investigadores de seguridad del SANS Institute's Internet Storm Center (ISC) están en curso. Cabe mencionar que la herramiento captó su atención gracias a un tip del Dr. Neal Krawetz. El ataque inicial fue descubierto por el investigador de seguridad Mary Landesman, de ScanSafe, quien lo describió en su momento como un nuevo tipo de amenaza.

La constante versatilidad del malicioso JavaScript presente en los sitios comprometidos hizo el análisis inicial difícil.  Con el conocimiento de la herramienta hacker utilizada para realizar el ataque todo se vuelve mucho más claro

"Lo bueno de esto es que hemos logrado confirmar que fué una inyección de SQL lo que fué utilizado en estos ataques. La herramienta tiene más funcionalidades que todavía tenemos que analizar, pero éste es su objetivo principal", escribe Bojan Zdrnja.

Los propietarios de sitios web deben utilizar éste descubrimiento como un llamado de atención a la necesidad de garantizar que sus aplicaciones web sean seguras, añadió.

Fuente: The Register