Websense alertaba hace unas horas sobre un ataque a gran escala detectado en Europa utilizando el toolkit MPACK. Este kit, que se vende en foros underground de Rusia y facilita crear una infraestructura web para infectar automáticamente a los usuarios que las visitan aprovechando diversas vulnerabilidades, ya fue analizado por Panda en un
detallado análisis.
Datos técnicos al margen, el problema para el usuario es que este ataque está aprovechando sitios y páginas webs legítimas, que han sido comprometidos para incluir en ellos el código que infecta a los visitantes de forma automática si no tienen el sistema actualizado. Websense habla de más de 10.000 sitios comprometidos, en Hispasec contabilizamos en este momento 11.179 sitios web comprometidos.
Es decir, si un usuario visita cualquiera de esas 11.179 páginas webs legítimas (con todo tipo de contenidos, desde páginas de deportes, hoteles, juegos, medios de comunicación, política, sexo, etc), y su sistema es vulnerable, automáticamente se instalará en él un troyano que puede robar sus claves de acceso a servicios sensibles, como la banca electrónica.
Las estadísticas actualizadas del ataque, en el momento de escribir estas líneas, son:
Aunque se trata de una captura de pantalla parcial (el listado completo incluye más de 120 paises con usuarios infectados), destaca el segundo puesto de España en infecciones, tan sólo superado por Italia. Otro dato interesante es el porcentaje de eficacia de los exploits utilizados en este ataque. En el caso de España, el 6,04% de los usuarios que visitan alguna de las 11.179 webs comprometidas resulta infectado. A excepción de Italia con un 13,7%, el resto de países europeos se sitúan por debajo de España. Una lectura rápida es que en España hay un área de oportunidad importante a la hora de concienciar a los usuarios para que mantengan puntualmente actualizados sus sistemas.
Si nos queremos consolar, en esa misma captura se puede observar el 30,5% de Canadá, o algo más abajo Perú con un 33,76% (132 de 391), Filipinas 41,72% (63 de 151), Marruecos 53,85% (21 de 39), así hasta llegar al anecdótico 100% de las Islas Vírgenes (1 de 1). Por todo lo contrario destacan países como Suecia con un 2,02% (10 de 495), o Finlandia 0,96% (2 de 209).
Porcentajes al margen, si tenemos sólo en cuenta el dato de infectados de forma cuantitativa, el primer puesto de Italia se explica porque un número elevado de los 11.179 sitios webs comprometidos son italianos, de ahí que muchos usuarios de Italia terminen visitando alguna de las webs infectadas. En el top10 de los sitios que más usuarios están infectando encontramos en el puesto 6 al primero con marcado acento español, se trata del sitio web oficial de una colaboradora/presentadora/modelo/actriz española habitual en nuestra televisión, "culpable" de buena parte de los infectados en España.
Hispasec se está poniendo en contacto con las principales webs españolas comprometidas para eliminar el código malicioso y prevenir nuevos infectados.
Aunque este ataque a gran escala pueda ser mitigado en los próximos días, no olvidemos que se trata de un caso aislado de un número indefinido de ataques similares no detectados que se están llevando a cabo con este mismo kit, más aquellos realizados con otros kits similares, una razón más por la que es vital concienciar a los usuarios de la necesidad de mantener sus sistemas puntualmente actualizados.
El realizar una navegación "responsable" no es suficiente, no previene de los incidentes de seguridad, ya que los atacantes están introduciendo sus códigos maliciosos en todo tipo de páginas webs.
