Un equipo de investigadores universitarios, y mediante su infiltración en una red informática criminal con el objetivo de infectar a los visitantes de páginas web legítimas, han logrado saber de primera mano tanto la escala como el rango de actuación del así llamado "drive-by downloading" (unas descargas automáticas llevadas a cabo sin el consentimiento ni el conocimiento del usuario.) Descubrieron más de 6.500 páginas web portadoras de código malicioso que lograron redirigir a casi 340.000 visitantes hacia sitios maliciosos.

El "drive-by downloading" consiste en forzar el acceso a un sitio legítimo para lograr instalar software malicioso en las máquinas de los visitantes o redirigirlos a otro sitio.

En un estudio aún por publicar, los investigadores de la Universidad de California en Santa Bárbara describen un estudio de cuatro meses mediante el que conectaron sus servidores a un grupo de ordenadores afectados conocido como el botnet (robot informático) Mebroot. Entre sus hallazgos, los investigadores descubrieron que, aunque los sitios de peor reputación de internet—aquellos que alojan porno y descargas ilegales—eran los más efectivos a la hora de redirigir a los usuarios a sitos de descargas maliciosas, los sitios de negocios eran los más comunes a la hora de reenviar a los usuarios.

“Hace tiempo creíamos que con tal de no navegar por páginas porno estábamos seguros,” afirma Giovanni Vigna, profesor en USCB de ciencias informáticas y uno de los autores del estudio. “Sin embargo, quedarse al margen de los sitios de mala reputación en internet ya no es sinónimo de estar a salvo.”

La red Mebroot, descubierta por los investigadores por primera vez en 2007, utiliza una serie de páginas web para redirigir a los visitantes a servidores de descarga centralizados que intentan infectar el ordenador de la víctima. Los investigadores afirman que el software malicioso, nombrado a raíz de su táctica de infectar el registro de inicio maestro (MBR) de los ordenadores con Windows, muestra señales de haber sido programado de forma profesional, incluyendo un ciclo rápido de depuración.

“Decididamente es uno de los botnets más avanzados y profesionales que existen,” afirma Kimmo Kasslin, director de respuestas de seguridad para la firma de antivirus F-Secure, con sede en Helsinki, Finlandia.

Mediante el uso de una variedad de métodos, los criminales responsables de Mebroot infectan servidores web legítimos con código Javascript. El código redirige al visitante a un dominio de internet distinto, que cambia a diario, y donde un servidor malicioso intenta afectar el ordenador con un programa que proporciona los propietarios del botnet el control remoto de la máquina afectada.

La técnica de dominios a medida es una forma relativamente sofisticada de frustrar los intentos de desconectar la red de forma permanente, afirman los investigadores. Los antiguos esquemas de "drive-by downloading" redirigían a las víctimas a direcciones web codificadas de forma permanente. En vez de utilizar una dirección estática, el Javascript que utiliza Mebroot genera una nueva dirección cada día, de forma similar al algoritmo de dominio utilizado por otra plaga informática llamada Conficker. Sin embargo, y puesto que el algoritmo depende de datos de entrada conocidos—por ejemplo la fecha—los dominios se pueden precomputarizar, ayudando así a los defensores. El Grupo de Trabajo Conficker, por ejemplo, intentaba reservar los dominios futuros al menos con un mes de antelación.

Durante los cuatro meses que los investigadores estudiaron Mebroot, esta red de infección utilizó tres algoritmos de generación de dominios distintos, dos de los cuales sólo utilizaban la fecha como dato de entrada. La última variante, no obstante, añadía una variable que no se podía averiguar tan fácilmente por anticipado: el segundo carácter del término de búsqueda diario más popular de Twitter.

“Ellos (los creadores de Mebroot) utilizaron una variable que no estaba bajo en control ni de los criminales ni de los defensores,” afirma Marco Cova, estudiante de USCB y coautor del estudio.

Después de desmantelar el algoritmo de generación de dominios, los investigadores lograron secuestrar Mebroot de forma temporal mediante la copia de los pasos que toman las páginas web afectadas para calcular el dominio del día actual y el registro de esos dominios por si mismas. No obstante los investigadores se dieron cuenta de que cuando registraban un dominio para sus servidores “sumidero” (sinkhole servers), el grupo responsable de Mebroot reaccionaba y registraba los dominios futuros más rápidamente.

Los investigadores también fueron capaces de crear el perfil de la víctima típica de la red. Casi un 64 por ciento de los visitantes que eran redirigidos a los servidores de los investigadores tenían Windows XP, mientras que el 23 por ciento utilizaban Windows Vista. Los siguientes dos sistemas operativos más populares eran el Mac OS X 10.4 “Tiger” y el Mac OS X 10.5 “Leopard,” que contabilizaron un 6,4 por ciento de todos los visitantes.

Los investigadores jamás afectaron los sistemas de los visitantes. No obstante fueron capaces de encontrar evidencias de que habían sido infectados mediante el análisis de dos tipos de información enviada a través de la red. Una sugería que el 6,5 por ciento de los visitantes fueron infectados con malware. El otro indicaba que el 13,3 por ciento de los sistemas habían sido modificados por archivos maliciosos o no deseados. Aproximadamente, más de la mitad—alrededor del 54 por ciento—ejecutaban algún tipo de software de antivirus. Alrededor del 12 por ciento de aquellos que ejecutaban el software de seguridad también fueron infectados por malware, tal y como descubrieron los investigadores.

Los investigadores también descubrieron que casi un 70 por ciento de aquellos redirigidos por Mebroot—según la clasificación de las direcciones de internet—eran vulnerables ante casi 40 vulnerabilidades que normalmente utilizan los juegos de herramientas de infección más populares para afectar a los sistemas informáticos. Alrededor de la mitad de esa cifra era vulnerable a las seis vulnerabilidades específicas utilizada por el juego de herramientas de Mebroot.

La investigación sugiere que los usuarios necesitan actualizarse más a menudo, según afirma Vigna desde UCSB.

“Los parches son muy buenos para reducir la exposición de los usuarios finales, pero los usuarios no son demasiado buenos a la hora de actualizar su sistema,” afirma.