Uno de los sitios de torrents más conocidos de internet estuvo sirviendo malware a sus visitantes sin que los administradores lo supieran, los atacantes lograron filtrar códigos maliciosos en la plataforma Openx para propagar un falso antivirus.
En el blog de Armorize puedes encontrar un informe detallado y un video que muestra el proceso de infección. Se trata de un ataque drive-by download que por medio de un applet de Java malicioso instala automáticamente un programa falso llamado Security Sphere 2012.
En SpamLoco he comentado varios casos parecidos (por ejemplo aquí y aquí). Imagina por un segundo la situación, navegas unos minutos por el sitio como lo haces habitualmente y al cerrar el navegador te encuentras con que hay un nuevo antivirus instalado, diciendo que el equipo está completamente infectado y solicitando tu tarjeta de crédito para comprar la licencia.
Si bien no es algo que suceda todos los días, tarde o temprano puede pasar si se dan las condiciones. En este caso un sitio que normalmente se visita comprometido, una versión de Java desactualizada y un antivirus que no fue capaz de bloquear el ataque.
Según se informa en Armorize, cuando el malware fue analizado la tasa de detección era muy baja (VT 2/43). Los responsables del ataque son los mismos que días atrás infectaron SpeedTest.net (un conocido servicio para medir la velocidad de conexión) también por medio de Openx, en esa oportunidad la tasa de detección en VirusTotal fue 0/43.
¿Y tu qué medidas implementas para evitar esta clase de ataques?