Cabecera-v2-web.jpg

Ataque Drive-by Download: ataques desde webs legí­timas


Drive-by-Download es una técnica utilizada por ciberdelincuentes en la que un software malicioso (malware) se instala en un equipo con el sólo hecho de visitar una página en Internet que está infectada por este tipo de amenaza. No es necesario que la ví­ctima haga click ni descargue nada, ya que el malware se encuentra en el mismo código de la página web infectada y el sólo hecho de abrirla hace que se infecte el equipo.

https://blog.malwarebytes.org/wp-content/uploads/2015/04/driveby.png

Por lo general, los ciberdelincuentes utilizan la técnica de drive-by-download explotando vulnerabilidades en complementos de navegadores (plugins), como Java, Adobe Reader y Adobe Flash. Si el equipo se encuentra desactualizado y vulnerable, el código malicioso de la web infectada podrá explotar la vulnerabilidad para instalar el malware de forma automática.

Las páginas infectadas no sólo se limitan a páginas de alto riesgo (como páginas pornográficas, por ejemplo), sino que también pueden ser páginas legí­timas y confiables que han sido comprometidas por ciberdelincuentes y que hospeden el código malicioso sin saberlo.

Esta técnica de drive-by-download puede ser utilizado contra equipos de cualquier sistema operativo: Windows, OS X (Apple), Linux, Android, iOS, etc.


¿Para qué utilizan esta técnica?

La técnica de drive-by-download se utiliza para la distribución de software malicioso (malware), tales como virus, software espí­a (spyware), gusanos, ransomware, etc.

Se ha observado un importante aumento de ransomware, un tipo de malware que encripta los archivos de la ví­ctima y solicita un pago de "rescate" para desencriptar los archivos. Este tipo de malware frecuentemente es distribuido a través de la técnica de drive-by-download.


¿Cómo cuidarse?

  • Contar con soluciones de antivirus y mantenerlo actualizado, de modo a prevenir la infección. Cuando un equipo ya está infectado, el antivirus muchas veces ya no es efectivo.
  • Mantener su sistema operativo y el software siempre actualizado, con los últimos parches.
  • Evitar la ejecución automática de plugins como Adobe Flash Player, Java, etc. La mayorí­a de los navegadores modernos permiten configurarlo de modo a que se solicite permiso al usuario cada vez que un sitio web intente ejecutar un plugin. Para ello puede ir a la Configuración u Opciones de su navegador.
    • En Google Chrome, escribir "chrome://settings/content/" en la barra de navegación y en la sección "Complementos", seleccionar "Permitirme decidir cuándo ejecutar contenido de plugins".
    • En Mozilla Firefox, escribir "about:addons" en la barra de navegación y en cada plugin deseado, seleccionar la opción "Preguntar para activar".
  • Contar con mecanismos de protección contra la publicidad invasiva (anuncios maliciosos embebidos en la web). Existen complementos como AdBlock Plus, disponible para varios sistemas operativos y navegadores:

https://adblockplus.org/es/



  • Evitar la ejecución automática de Javascript. Existen complementos como No-Script y ScriptSafe que deshabilitan por defecto la ejecución de Javascript, permitiendo al usuario habilitarlo sólo en las páginas en las que confí­a.

https://addons.mozilla.org/es/firefox/addon/noscript/

https://chrome.google.com/webstore/detail/scriptsafe/oiigbmnaadbkfbmpbfijlflahbdbdgdf

  • No ingresar a enlaces dudosos que le son enviados a través de correo electrónico, servicios de mensajerí­a, redes sociales, etc.

En caso de sospechar que una página web puede estar infectada, puede reportarlo al Centro de respuestas ante Incidentes Cibernéticos (CERT-PY)


Información adicional: Boletin CERT-PY Drive-by-Download


pie.png

CERT-PY | Centro de Respuestas a Incidentes Cibernéticos
Ministerio de Tencnologí­as de la Información y Comunicación (MITIC)

Avda. Gral. Santos c/ Concordia | Telefono: (595 21) 217-9000
República del Paraguay

80x15.png

Versión del Template 1.11