Hemos estado analizando la
infraestructura del programa nocivo Gumblar y encontramos algunos datos
curiosos sobre la forma en la que opera. Nos pareció que era importante
compartir nuestros descubrimientos con los dueños de sitios web para
alertarlos sobre las amenazas que presenta este programa.
Los
análisis de algunos sitios infectados mostraron que la única forma de
inyectar la infección de Gumblar es usando acceso FTP, porque estos
sitios web no tienen programación del lado del servidor. Esto se
comprobó después con un análisis de los archivos de registro FTP.
La
inyección de código malicioso en páginas HTML (que es una simple
inserción de una pestaña <script>
en cada archivo HTML) se
realiza descargando todos los archivos del servidor que puedan tener
HTML, cambiándolos y volviéndolos a subir. Llamamos a los sitios web
que se modifican de esta manera “desviadores”, porque lo que hacen es
desviar a los navegadores hacia el sitio web infectado.
El
script inyectado dirige a otro sitio web que contiene exploits y guarda
un registro de todos los clientes atacados. Estos sitios web deben
admitir php, porque el funcionamiento está basado en php. Llamamos a
estos sitios “infecciosos”, porque contienen los exploits y el archivo
ejecutable malicioso para Windows. El ejecutable malicioso para Windows
se libera cuando el ataque se lanza con éxito. El ejecutable espera
hasta que el usuario ingrese sus credenciales FTP.
Hemos
podido encontrar de dónde proviene el código de servidor de los sitios
desviadores e infecciosos. Y encontramos una pieza más de la
infraestructura: un grupo de sitios web comprometidos que llamamos
“inyectores”. Estos sitios contienen una puerta trasera php genérica
que permite al dueño ejecutar cualquier código php en el servidor web.
Todos
los sitios web que participan en este ataque parecen ser legítimos pero
están comprometidos y no están relacionados con el grupo Gumblar. Todo
el grupo de sitios infectados se divide en al menos 3 subgrupos con
diferentes propósitos que no se relacionan entre sí:
Los inyectores no actúan por su
propia cuenta. Parece que este grupo se está utilizando para controlar
las tareas de inyección. Esto significa que hay otro grupo de
ordenadores que emite los códigos e instrucciones para infectar los
sitios web en los servidores comprometidos. Nos referimos a estos
equipos como “despachadores”. Todavía no hemos recopilado mucha
información sobre ellos y no sabemos si también están comprometidos.
Así que la estructura de Gumblar es como esta:
¿Por
qué Gumblar está tan expandido? La respuesta es simple: Es un sistema
que se maneja de forma completamente automática. Es una nueva
generación de redes zombi que se construyen a sí mismas. Este sistema
está atacando de forma activa a los visitantes de sitios web, y cuando
los infecta con el ejecutable de Windows, obtiene las credenciales FTP
de los equipos de las víctimas. Después utiliza las cuentas FTP para
infectar cada sitio web de los nuevos servidores. Así es como el
sistema aumenta el número de páginas infectadas y sigue atacando a cada
vez más ordenadores. Todo el proceso es automático, y el dueño sólo
tiene que ajustar el sistema y actualizar el ejecutable del troyano que
roba contraseñas y los exploits que se utilizan para atacar el
navegador.
El sistema trabaja de forma constante atacando
nuevos equipos, obteniendo nuevas cuentas FTP e infectando nuevos
servidores. La siguiente ilustración explica las tareas de los
servidores comprometidos:
Autor:Vitaly Kamluk
Fuente: Viruslist
Go here to read the rest:
La estructura de Gumblar |
Miembros del SSD:
Moyo KobraSoft Kurtmorrison ASMx86 Drayfe Mig16 Odelixsx
Be First To Comment
Related Post
Leave Your Comments Below