La peligrosidad de los script dañinos

En un repaso rápido de la historia del malware, se puede ver claramente su evolución hacia los mismos medios que el usuario utiliza a diario. Esto no es una coincidencia, sino fruto de que, justamente, el malware utiliza al ser humano para su propagación.

En su momento fueron los disquetes que un usuario podía prestar a un amigo, luego fueron los macros en documentos de ofimática, luego el correo electrónico y actualmente cualquier medio de comunicación electrónico. Hoy, los sitios web se han convertido en uno de los principales blancos para los atacantes y uno de los principales riesgos para los usuarios.

Aún así, sigue pareciendo extraño que con el solo hecho de ingresar a una página, el sistema pueda verse afectado y totalmente comprometido. Sin embargo, esto técnicamente no es complejo si se comprende que cualquier sistema o aplicación actual puede tener vulnerabilidades que pueden ser aprovechadas por usuarios malintencionados [1].

Sin el ingrediente anterior de las vulnerabilidades y la falta de actualización por parte de empresas y usuarios, la explotación de ellas por parte de scripts dañinos sería poco aplicable. Bajo estas circunstancias, actualizar toda aplicación es fundamental pero aún no ha llegado a ser incorporado como medida obligada, cosa que los creadores de malware ya han comprendido hace tiempo, utilizando esta falta para su favor.

En forma general, un script es un conjunto de instrucciones en algún lenguaje de programación como Javacript, VBScript, Perl, etc., fácilmente comprensible que, generalmente, no necesita ser compilado y que es utilizado para realizar pequeñas acciones en el sistema en el que se aloja.

En el ámbito web, cualquier navegador tradicional posee la capacidad de “entender” estos scripts y ejecutarlos en el sistema del usuario. Estas pequeñas aplicaciones actualmente son utilizadas para permitir la interacción del sitio web con el navegador y por ende, con el usuario que navega por ese sitio web (menús, calendarios, uso de listas desplegables, desplazamiento de textos, aplicación de formatos, descarga de archivos, etc).

Por supuesto estos scripts pueden utilizarse en cualquier contexto y pueden realizar cualquier acción sobre el sistema anfitrión, sin importar el sistema operativo, y con los privilegios y permisos que el usuario actual posea sobre dicho sistema. Si se observa con atención, esta es una ventaja sobre el malware de aplicaciones tradicional ya que este debía estar compilado para ejecutarse en un sistema operativo en particular.

Como los scripts se ejecutan sobre el navegador (u otra aplicación cliente relacionada) y son “comprendidos” por esa aplicación, el sistema operativo deja de importar y el script dañino puede ejecutarse en cualquier plataforma.

En esta primera etapa de la evolución del malware hacia plataformas web, se puede ver gran cantidad de malware que aprovecha las ventajas mencionadas -las vulnerabilidades y la capacidad de ejecución en el cliente- para descargar otros malware que actualmente suelen ser aplicaciones ejecutables para el sistema operativo que posee el usuario. En un diagrama puede verse que el usuario prácticamente no actúa, con excepción del ingreso al sitio afectado:


En la práctica este diagrama funciona del siguiente modo:

-Un atacante encuentra vulnerabilidades en un sitio o servidor web
-Modifica los sitios alojados en el servidor agregando una línea de código a cada página web. Esta línea de código es el script que permite la descarga de otros scripts (generalmente alojados en otros servidores). Esta línea de código suele ser algo como lo siguiente:

-Si bien el proceso anterior puede parecer complejo, existen herramientas que realizan el trabajo en forma automática y cualquier persona con ganas de delinquir y hacer dinero fácil puede hacerlo. Por supuesto que si los sitios modificados son masivos, las ganancias serán aun mayores
-El usuario ingresa a un sitio de su confianza o a través de un buscador [2] desconociendo que el mismo fue modificado
-El script anterior descarga otro script dañino, programado para aprovechar vulnerabilidades del sistema operativo instalado o de las aplicaciones utilizadas por el usuario

-Estas vulnerabilidades le permite ejecutar código, descargar un archivo ejecutable y abrirlo
-Este proceso es totalmente transparente para el usuario, transcurre mientras la página web es visualizada y el usuario se encuentra infectado con sólo haber ingresado al sitio web

Esta situación es común hoy en día y lo aún más grave es que las infecciones suelen ser masivas ya que con modificar un solo sitio web, el atacante tiene acceso a los cientos, miles o millones de visitantes que tenga dicho sitio.

Algunas aplicaciones actuales comenzaron a tener su versión en la web y también está aumentando el uso de programas clientes en reemplazo de las tradicionales aplicaciones de escritorio (por ejemplo, Google Docs Vs. aplicaciones de ofimática). Bajo esta perspectiva, es altamente probable que el tipo de infección mediante scripts, se sigan perfeccionando, debido a que el potencial de afectar plataformas clientes es inmenso así como la cantidad de posibles usuarios afectados.



Copyright © ESET, LLC. Este artículo se encuentra bajo licencia Creative Commons de Atribución, No Comercial y Compartir Obras Derivadas Igual. (by-nc-sa).

terrible informe

grax por la data habra que tener mas cuidado donde navegamos

Tus redacciones excelentes como siempre para mantenerse al tanto y conocer cada dia más acerca de éstos asuntos, hay que estar al tanto de cada una de estas cosas, ya que la seguridad informática no pasa solo por tener softs que la resguarden sino por la actitud de cada uno de nosotros al momento de navegar.

Mensaje muy ilustrativo y muy importante creo que nos sera de mucha utilidad a todos

Excelente información, gracias a todos por sus reflexivos comentarios!!

la verdad que esta muy bueno el informe, muchas veces por querer bajar un archivo, aplicacion o programas, ingresamos a cualquier pagina sin importar su procedencia, la cual a las reiteradas confirmaciones que nos muestra el Win, de que si estamos seguros en descargar determinadas aplicaciones, no pensamos si es en verdad seguro realizarla, presionamos en aceptar o continuar para poder ver el soft instalado, y es hai cuando comiensan los problemas, hay que prestar mas atencion a todo lo que aceptamos en las paginas...... saludos

Apoyo el comentario de Milosevich22 a veces el usuario se obcesiona por la descarga de informacion y es donde se da la filtracion de los malware y pienso que la mejor manera de contrarestra esta situcion es activar el firewall muy recomendado

hey muy buen informe .....

Muy buen Informe!!, Yo utilizo Kaspersky Internet Security un excelente antivirus, anti-espías, cortafuegos, bloqueo de publicidad y ventanas emergentes, anti-spam, vigilancia contra ataques externos, bloqueo de ataques de phishing, etc. Cuando ingreso en un sitio que posee un scripts malicioso que se ejecuta en segundo plano no lo deja ejecutarse y me avisa.

Todo lo que puedan utilizar este excelente programa sedara cuenta de su ventajas.

lo mejor de todo es que no utiliza muchos recursos del sistema!!.

Blessings...