Hace unos días comentaba una de las formas en que Java es utilizado para infectar y hacía hincapié en la importancia de mantenerlo actualizado o bien no tenerlo instalado si es algo que no se suela usar. En relación a esto, el siguiente es un ejemplo de ataque BlackHat SEO que aprovecha Java para instalar un troyano.
Todo comienza con la búsqueda de una imagen en Google, al hacerle clic para verla más grande los usuarios son redireccionados a una página que intenta infectar sus equipos:
Al hacer clic en la imagen se termina en la siguiente página:
La página carga un exploit que aprovecha una vulnerabilidad conocida de Java (CVE-2010-0840), si la versión instalada es vieja el exploit puede descargar y ejecutar cualquier archivo de forma oculta. En este caso la descarga es un troyano que permite controlar el equipo de forma remota.
Las víctimas lo único que ven es un falso error en la página y las más atentas notarán que Java se está ejecutando mientras la página está abierta, lo cual sumado al redireccionamiento anterior es demasiado extraño.
Esto sucede porque el sitio legítimo donde se encuentra la imagen fue vulnerado, los atacantes colocaron códigos para redireccionar a todos los visitantes que acceden desde un buscador como Google. Ocurre con todas las páginas e imágenes que están alojadas en el sitio, si se accede directamente no sucede nada y en equipos diferentes a Windows la redirección apunta a un sitio de citas.
Gracias Larissa por el aviso!
Ver también:
Constructor de páginas falsas + Java malicioso.