- En los últimos seis meses, dos millones de usuarios han sido blanco de ataques cibernéticos con exploits de Java
- En los últimos 12 meses, se detectaron más de 161 vulnerabilidades en JRE (Java Runtime Environment)
- Java es muy rápido al generar parches para las vulnerabilidades. El problema lo encontramos en la lentitud de los usuarios a la hora de actualizar las versiones del programa
Kaspersky Lab ha publicado los resultados de su investigación sobre uno de los métodos más populares para infectar ordenadores que aprovecha vulnerabilidades en el software legítimo. Según los investigadores, los exploits de Java son la herramienta más demandada por los cibercriminales: en los últimos 12 meses se detectaron más de 161 vulnerabilidades en JRE (Java Runtime Environment) y de marzo a agosto de 2013, Kaspersky Security Network registró ataques con exploits de Java, que afectaron a más de 2 millones de usuarios.
Durante la investigación, los expertos de Kaspersky Lab analizaron cómo los ordenadores se infectaban con la ayuda de BlackHole Exploit Kit, uno de los más populares en el mercado, junto con Nuclear Pack, Styx Pack and Sakura. BlackHole Exploit incluye vulnerabilidades dirigidas a Adobe Reader, Adobe Flash Player, Oracle Java y otros programas famosos. Debido a que el funcionamiento de todos los paquetes de exploits se basa en el mismo algoritmo, los expertos de Kaspersky Lab recogieron tres exploits de Java de BlackHole para confirmar cómo trabajan estos paquetes de exploits.
El estudio también utilizó el caso BlackHole para demostrar cómo los componentes de seguridad pueden interactuar con códigos maliciosos en varias etapas, incluyendo la etapa en la que los exploits están dirigidosa vulnerabilidades específicas:
Bloqueo de la página de inicio del paquete exploit (es decir, la primera página del exploit pack después de que el usuario es redirigido a un sitio legal).
• Detección de archivos con antivirus (el usuario no llega, sin embargo, a la página de inicio del exploit pack).
• Detección basada en firmas exploit (en caso de que la solución de seguridad no detectara la página de inicio del exploit pack).
• Detección proactiva de exploits (se utiliza si todos los componentes de seguridad basados en firmas no detectan nada malicioso al escanear el contenido del paquete de exploits, y el exploit se las arregla para ponerse en marcha).
• Detección de descargas maliciosas (si el exploit se las arregla para escapar a la detección, trata de descargar una carga maliciosa e instalarse en el ordenador de la víctima).
"Hoy en día, si unciberdelincuentequiere infectar ordenadoresconuna modificación del troyano ZeuS, todo lo quedebehacer escomprar un paquetedeexploitspreparados, configurarlosy atraerel mayor número posible de víctimas potenciales a su página de destino . El problema delos"blackhole" sigue siendoimportante,a pesar dealgunosestudios sobreel mecanismo de infección de los paquetes de exploits y soluciones integrales que ofrecen las empresas de seguridad. En el caso de Java, el fabricante de software es muy rápido en responder a las vulnerabilidades ya la hora de comunicar losparchesgenerados. Sin embargo, los usuarios finales normalmente no sedan prisa alinstalar las actualizacionesy los ciberdelincuentes tomanla iniciativamediante la creación de nuevos programas maliciosos para atacar las vulnerabilidades conocidas", afirma Vyacheslav Zakorzhevsky, jefe del Grupo de Investigación de Vulnerabilidades de Kaspersky Lab.
Hasta ahora, los packs de exploits ofrecían a los ciberdelincuentes un sistema muy fiable para infectar ordenadores que no tuvieran una solución de seguridad instalada. No es de extrañar que las infecciones a través de los paquetes de exploits sean un método muy utilizado entre los cibercriminales: es extremadamente difícil de detectar para un usuario desprevenido y sin protección.
Todo el proceso se inicia al redirigir al usuario a la página de destino del pack de exploits. Los ciberdelincuentes usan una amplia variedad de métodos para hacerlo, incluyendomensajes de spam con enlaces a las páginas. Sin embargo, el caso más peligroso se da cuando los sitios legales están en peligro, y los códigos de script o iframes se inyectan en ellos. En tales casos, basta con que un usuario visite un sitio web para que el ataque drive-by se lance y el pack de exploits comience a trabajar clandestinamente.
Los ciberdelincuentes también pueden utilizar los sistemas de publicidad legítimos, banners de enlaces y teasers a páginas maliciosas. La única manerade evitar un ataque es asegurarse de que ninguno de los programas informáticosque necesitael exploit pack estéinstalado en el ordenador. Tan pronto como un usuario visita la página de destino, los ciberdelincuentes acceden a la información de esos ordenadores, incluyendo la versión del sistema operativo, el navegador y los plugins instalados, configuraciones de idioma local, etc.
