Kaspersky Lab ha publicado los resultados de su investigación sobre uno de los métodos más populares para infectar computadoras que aprovecha vulnerabilidades en el software legítimo. Según los investigadores, los exploits de Java son la herramienta más demandada por los cibercriminales: en los últimos 12 meses se detectaron más de 161 vulnerabilidades en JRE (Java Runtime Environment) y de marzo a agosto de 2013, Kaspersky Security Network registró ataques con exploits de Java, que afectaron a más de 2 millones de usuarios.
Durante la investigación, los expertos de Kaspersky Lab analizaron cómo las computadoras se infectaban con la ayuda de BlackHole Exploit Kit, uno de los más populares en el mercado, junto con Nuclear Pack, Styx Pack and Sakura. BlackHole Exploit incluye vulnerabilidades dirigidas a Adobe Reader, Adobe Flash Player, Oracle Java y otros programas famosos. Debido a que el funcionamiento de todos los paquetes de exploits se basa en el mismo algoritmo, los expertos de Kaspersky Lab recogieron tres exploits de Java de BlackHole para confirmar cómo trabajan estos paquetes de exploits.
El estudio también utilizó el caso BlackHole para demostrar cómo los componentes de seguridad pueden interactuar con códigos maliciosos en varias etapas, incluyendo la etapa en la que los exploits están dirigidos vulnerabilidades específicas:
- Bloqueo de la página de inicio del paquete exploit (es decir, la primera página del exploit pack después de que el usuario es redirigido a un sitio legal).
- Detección de archivos con antivirus (el usuario no llega, sin embargo, a la página de inicio del exploit pack).
- Detección basada en firmas exploit (en caso de que la solución de seguridad no detectara la página de inicio del exploit pack).
- Detección proactiva de exploits (se utiliza si todos los componentes de seguridad basados en firmas no detectan nada malicioso al escanear el contenido del paquete de exploits, y el exploit se las arregla para ponerse en marcha).
- Detección de descargas maliciosas (si el exploit se las arregla para escapar a la detección, trata de descargar una carga maliciosa e instalarse en el ordenador de la víctima).
“Hoy en día, si un ciberdelincuente quiere infectar computadoras con una modificación del troyano ZeuS, todo lo que debe hacer es comprar un paquete de exploits preparados, configurarlos y atraer el mayor número posible de víctimas potenciales a su página de destino”, dijo Dmitry Bestuzhev, director para América Latina del Equipo Global de Investigación y Análisis de Kaspersky Lab.
“El problema de los ‘blackhole’ sigue siendo importante, a pesar de algunos estudios sobre el mecanismo de infección de los paquetes de exploits y soluciones integrales que ofrecen las empresas de seguridad. En el caso de Java, el fabricante de software es muy rápido en responder a las vulnerabilidades y a la hora de comunicar los parches generados. Sin embargo, los usuarios finales normalmente no se dan prisa al instalar las actualizaciones y los ciberdelincuentes toman la iniciativa mediante la creación de nuevos programas maliciosos para atacar las vulnerabilidades conocidas”.