malware virus codigo malicioso LNCIMA20140124 0090 5

Qué son los script maliciosos y cómo protegerte de ellos

Cuando se habla de amenazas y ataques que las usuarias sufren a diario, en una importante cantidad de casos se destacan aquellas que son más o menos predecibles, como pueden ser los archivos maliciosos adjuntos en un email. Aunque se nos siguen presentando en una enorme variedad de ransomwares, existen muchas otras alternativas de ataque y una, tal vez de las más peligrosas, sobre todo porque son difíciles de detectar por usuarias no técnicas, es la variable de los scripts.

¿Cómo funcionan?

Se trata de porciones de código que se pueden encontrar ocultas en webs que ignoran que están atacando a sus usuarias producto de que su seguridad fue vulnerada y alguien inyectó en las páginas esas porciones de código para afectar a usuarias desprevenidas. De esta manera, vos visitás un sitio en el que confiás… y terminás infectada. Para explotar esta vulnerabilidad se requiere de muy poco, pero un requisito indispensable es un navegador.

Existen varios ejemplos bastante recientes entre los que podemos ver de qué manera, desde hace ya varios años, muchas atacantes están usando kits de xploits para poder infectar de forma automática, lo que, claro, resulta mucho más cómodo. Funcionan de una forma relativamente simple que consiste en compromete la seguridad de alguna web en que las usuarias confíen (o directamente crear un clon al que redirigir desde otras ubicaciones) e instalar uno de estos kits de xploits. A partir de ese momento, la detección y explotación de vulnerabilidades se realiza de forma automática en las usuarias que visiten la web.

IMG Worm

Una forma muy difundida en la actualidad es lo que algunas llaman campañas de malvertising: publicidades insertas en distintas páginas que incluyen un código malicioso. En caso de que hagas click en ellas, alguien puede tomar el control del dispositivo o ejecutar distintos ataques. Hay un detalle en el que pocas piensan: si tu objetivo es atacar a la mayor cantidad de gente posible, ¿qué elegirías? Las alternativas son dos: usar un portal desconocido y con pocas visitas, usar uno conocido y con muchas.

¿Cuál te parece más lógico? Bueno, a la gente de Forbes.com no le gustó mucho el tema. Fueron 8 las páginas de las que tuvieron que limpiar el código que permitía explotar los kits Neutrino y Angler. En este sentido, el código JavaScript, que muchas veces es menospreciado, se encarga de hacer un payload, esto no es otra cosa que ejecutar el cometido final, como puede ser accionar un código capaz de servirse de las vulnerabilidades presentes y lograr una infección del sistema con el malware que quieras. Se trata de un resultado final, si el objetivo era infectarte, el payload es la infección, si es usar tu casilla para enviar spam, el payload es ese envío.

Si no fui clara, el primer ataque no es la infección, el primer ataque es un script que llama a la infección . Esto no es menor ni despreciable en lo estratégico, ya que la división del ataque, nos brinda mayores posibilidades de éxito, pues se transforma en algo menos perceptible todavía.

La razón por la que se logra la ejecución automática de este tipo de códigos, es la poca atención que se le presta a los permisos que se otorgan en los sistemas cuando se están configurando. El número de usuarias con permisos de administradora en sistemas Window$, por ejemplo, es realmente abrumador, algo que además es totalmente innecesario para un uso normal (hogareño o profesional) y que pone a las usuarias en un lugar de víctimas potenciales de forma constante.

A esto se suma el problema de las malas configuraciones de las medidas de seguridad que incorpora el propio sistema, como el UAC, lo que hace que estos scripts puedan darse una panzada de nuestra máquina sin nada que los detenga ni moleste. Si configurás esta capa de seguridad en un nivel medio/alto, evitarías una enorme cantidad de infecciones. Ahora, si las querés evitar todas, tenés que optar por un sistema que sí sea operativo.

¿Cómo protegerte?

Este tipo de ataques pueden evitarse teniendo en cuenta que no existe NINGUNA web que pueda ser nominada como 100% segura, y esto amerita que tomes medidas para protegerte. Actualizar el sistema es muy importante, pero también lo es actualizar las aplicaciones más vulnerables a ataques (principalmente tus navegadores, java -que es mejor tener deshabilitado- y Flash Player -que cada vez es más inútil y menos utilizado-). En ocasiones, muchas, con esto no alcanza y tenés que optar por una solución de seguridad que tenga la capacidad de detectar este tipo de scripts, no sólo los que utilicen JavaScript, sino además los que lo hagan con PowerShell.

En fin, la idea de un sistema 100% seguro, si es desarrollado por Micro$oft, es una suerte de contradicción. Parte de los ingresos de las empresas del sector, provienen de tu ignorancia y de su voluntad de que esto sea de esta manera. Si a la empresa de Redmond le interesara la seguridad de sus usuarias más que sus cuantiosas ganancias, ya habría dejado de desarrollar el único sistema en el que corren millones de virus y optado por crear uno -incluso privativo- en el que este tipo de ataques y vulneraciones no puedan ser explotadas o directamente no existan.

¿La mejor solución? Dejar de usar Window$. Lo demás, es masoquismo.

¡Happy Hacking!

image/svg+xmlTribuna Hacker existe gracias a

3 comments

  1. Los comentarios de los blogs siempre han sido una bueno oportunidad de conversación (construcción diferente de la discusiñon). En este momento de “internet 2.0” como le dicen algunas (se me ocurren las de lasindias.com), las redes asociales nos distraen de la blogosfera que aún tiene esa potencia de lo distribuido, de lo p2p. Nos leemos por aquí, abrazo!

  2. Mangulo! bienvenida! Y muchas gracias por leernos! Cierto, los scripts nos afectan a todas, alguna vez haremos algo sobre robo de sesiones, nos lo debemos. Un placer, y cuando guste, estas son sus páginas, para leer pero también para participar, que no sólo nos hace falta sino que además lo buscamos, queremos ser un medio lo menos vertical que logremos ser. Abrazo!

  3. Hola. Si bien estoy de acuerdo en dejar windows igualmente sistemas como los gnu/linux son afectados por scripts y malware, sobre todo por los navegadores como bien dice la nota. Hay una extensión, al menos para firefox, llamada NoScript https://noscript.net/ que bloquea todos los scripts y deja en manos de la usuaria permitirlos o no. Esto al menos hace más conciente de lo que se ejecuta navegando (por ej facebook no funciona sin java). Descubrí esa extención usando la distro tana Parrot OS. Igualmente tampoco hay que olvidar que muchas de las extensiones y plugins del navegador pueden contener codigo malicioso que recolectan nuestros datos. Sigamos atentas.

    Saludos, buen laburo el de la página, les leo!

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *