Hace un tiempo había comentado un programa que permitía crear páginas maliciosas para infectar con Java, hoy estuve probando otro que permite hacer lo mismo con unos pocos clics. Por razones obvias el nombre del programa aparecerá oculto, la idea es mostrar la facilidad con la cual se pueden crear y la forma en que operan, así no te infectas en caso de encontrarte con alguna.
Como se puede ver en la captura anterior, simplemente hay que ingresar la URL desde la cual se descargará el malware, en este ejemplo llamado virusdestructor.exe. Además se pueden seleccionar diferentes templates que copian los diseños de YouTube, Steam, MSN y otros tipos de sitios.
Finalmente se hace clic en el botón Generate y se crea en una carpeta el sitio falso, junto a la aplicación de Java que descargará el malware. Esto se sube a un servidor y simplemente resta que las víctimas entren al sitio falso para infectarlas:
Veamos un par de ejemplos de las páginas que se crean con el programa, presta atención a las advertencias de ejecución de Java:
El diseño de las páginas creadas se puede adaptar a gusto para hacerlas mucho más atractivas, como este Lockerz Exploitz online o esta otra que sólo muestra un error 404 Not Found y hace uso del BlackHat SEO, pero eso ya queda en manos de la imaginación de los atacantes, la mayoría no la tienen y por eso usan estos programas automáticos :)
Como habrás notado para que el equipo se infecte es necesario aceptar la ejecución de la aplicación, por eso siempre hay que tener cuidado con ese tipo de advertencias. Si la página es desconocida o no sabes por qué necesitas aceptar una aplicación, lo mejor es cancelarla. Además, si la versión de Java que tienes instalada está desactualizada, el malware podría descargarse sin aviso alguno aprovechando agujeros de seguridad.
Java es uno de los complementos más utilizados para infectar y esta clase de sitios falsos que lo aprovechan están muy de moda, para verificar si tienes la última versión instalada visita: java.com/es/download/installed.jsp
Cuando hay nuevas versiones aparece la actualización, pero no debe ser nada malo en ese caso. También puede verificar la versión instalada desde acá http://java.com/es/download/installed.jsp
Ok, porque el equipo de una amiga siempre pide actualizar la versión de java de forma continua, a diario propiamente dicho. ¿Debo sospechar algún intento de intrusión? Saludos.
No, la alerta aparece siempre que una nueva aplicación Java se quiere ejecutar en el sistema, así que podría aparecer algo similar con una aplicación que no es peligrosa.
La cuestión está en abrir los ojos cuando aparecen y entender por qué es necesario aceptar esa aplicación, si se tienen dudas o la situación es sospechosa, lo mejor es no aceptarla.
La misma alerta también dice quién es el editor de la aplicación y la URL desde donde se descarga, pero esa información se puede falsificar, no hay que guiarse solamente por eso.
También puede pasar, si la versión de Java instalada es vulnerable, que la advertencia no se muestre y la aplicación se ejecute de todas formas como en este ejemplo que comenté hace unos meses.
Saludos.
¿La clave para identificarlo es por medio de la alerta? Saludos.
La verdad que no, lo mismo lo he escrito directamente en post anteriores. Aparte se puede hacer eso y mucho más.
se re nota que el comentario anonimo lo pusiste vs mismo para decir que en linux y mac tambien se puede hacer eso …..
Si, se puede y lo hacen, mira esta imagen, son las estadísticas de infección de un crimeware :)
Por aquí también puedes ver un ejemplo con Ubuntu y aquí uno para Mac, también por aquí un troyano para infectar Mac y administrarlo remotamente.
Y si uso Java desde Mac o Linux ¿Tambien infecta)