El sitio web de seguridad Sucuri ha advertido de una campaña de malware que utiliza actualizaciones falsas para el navegador con tal de infectar nuestros equipos. El ataque aprovecha las vulnerabilidades conocidas en el navegador y/o sistema operativo de los usuarios. En la actualidad, está dirigido a Firefox, Chrome, Internet Explorer y Microsoft Edge que se ejecutan en Windows y Android. Es probable que aparezca en otros navegadores a medida que el malware evolucione.
¿Como funciona este nuevo ataque?
Según Thomas Owen, jefe de seguridad de Memset: “Muchas de estas vulnerabilidades requieren vulnerabilidades en el navegador o el sistema operativo, por lo que es importante asegurarnos de que navegador y el sistema operativo del usuario estén actualizados (y tengan parches automáticos) y que un producto antivirus de confianza lo proteja. Los complementos del navegador, como Web of Trust, también pueden ayudar cuando intentes visitar un sitio que esté comprometido o que contenga malware. Por último, el mejor consejo es no visitar los sitios menos ‘reputados’ de Internet “.
Es muy simple. Los atacantes comprometen un sitio web mal protegido. Los usuarios que visitan ese sitio web ven el cuadro de advertencia relacionado con el navegador que están usando. Al mismo tiempo, aparece la pantalla para mostrar el sitio web como un conjunto de texto basura. El cuadro de advertencia le dice al usuario que está en riesgo de perder o de que se filtren datos y se experimentan errores del navegador
Para detenerlo, todo lo que tienen que hacer es clic en el botón actualizar dentro del cuadro de error. Al hacer clic en el botón de actualización, se envía al usuario a un sitio que intenta descargar malware de sitios de terceros. El malware lo deben detectar los programas que utilices para protegerte. Los usuarios que no ejecutan software antimalware corren el riesgo de acabar infectados. Los ataques contra usuarios de Windows se centran en ransomware. El malware identificado por diferentes motores incluye Cerber, Kryptik y Crypted.
Los ataques contra Android son malware bancario, con BankBot y Anubis. Este último es un malware especialmente desagradable que se dirige a bancos, sistemas de pago en línea y algunas organizaciones de moneda criptográfica. También se afirma que intercepta los mensajes de seguridad 2FA enviados al dispositivo en el que está instalado.
Los propietarios de las webs necesitan mejorar su seguridad
El motivo de este ataque, como tantos otros, es que hay sitios web inseguros. En este caso, la gran mayoría de las webs se han construido en WordPress. El problema es que los propietarios no los han reparado correctamente ni revisan los intentos de cambiar sus archivos principales.
Esto no se limita a los sitios web creados por individuos. Está muy extendida en las pequeñas y medianas empresas. Muchos de ellos han pagado por un sitio web creyendo que una tarifa única es todo lo que pueden pagar. Mientras se encargan de agregar contenido al sitio, no tienen las habilidades ni el tiempo para instalar parches en el CMS o actualizar complementos.
Esto los deja vulnerables a los sitios que se utilizan para distribuir malvertising y malware. El primero es un problema continuo ya que muchos confían en terceros para enviar anuncios a su sitio y no tienen idea de si los anuncios son apropiados o seguros. Cuando se trata de malware, no saben qué seguridad usar y cuándo han sido pirateados.
¿Cómo se puede solucionar y evitar?
El malware que se distribuye a través de sitios web con mala seguridad se está convirtiendo en algo común. La creciente necesidad de que las empresas tengan presencia en línea significa que se apresuran a tener sitios web creados pero no mantenidos. A menudo no entienden la tecnología subyacente ni quieren hacerlo. Los propietarios de negocios también rechazan la idea de pagar un contrato de mantenimiento con su proveedor de sitio web para mantenerlo seguro, actualizado y en funcionamiento.
Todo esto es una buena noticia para los hackers. Buscan activamente instalaciones CMS inseguras y desactualizadas. La mayoría de los ataques provienen de la inserción de scripts en el sitio que pueden aprovechar cuando los usuarios se conectan. También reduce el riesgo de que el sitio sea marcado por los sitios de búsqueda de malware que darían el juego.
En este caso, el malware no va solo detrás de Windows, sino también de Android. La mezcla de ransomware y malware bancario es bastante común. Lo preocupante para los usuarios de Android es el hecho de que al menos uno de estos malware es capaz de interceptar mensajes 2FA. Esto significa que el malware es propietario de toda la cadena de seguridad para sacar dinero de las cuentas bancarias. También puede autorizar pagos a tarjetas de crédito.
Los usuarios deben asegurarse de que están ejecutando un software de seguridad actualizado en sus dispositivos. Las empresas también deben garantizar que cualquier usuario con acceso móvil a cuentas bancarias corporativas o procesos de autorización solo lo haga desde un dispositivo seguro.