Descargas drive-by - Instalación silenciosa de malware
Lectura de 2 min aprox.
Una descarga al paso (drive-by download) es una técnica de ataque en la que un usuario se infecta con malware solo por visitar una página web, sin realizar ninguna acción de clic o descarga. Como aprovecha vulnerabilidades de navegadores o complementos para ejecutar código arbitrario, incluso los usuarios con buena conciencia de seguridad pueden ser víctimas. Es un ataque que desmonta por completo la creencia de que «estás a salvo mientras no visites sitios sospechosos», y no es raro que sitios legítimos sean manipulados y usados como trampolín para el ataque.
Cómo funciona el ataque
Visita la página web
JS malicioso / iframe
Busca vulnerabilidades automáticamente
Ejecución del malware
El núcleo del ataque es el kit de exploits (EK). EK como Angler, RIG y Magnitude toman automáticamente la huella digital del tipo, la versión y los complementos instalados del navegador visitante, luego seleccionan una vulnerabilidad disponible y entregan el código de ataque. Como todo este proceso se completa en cuestión de milisegundos, el usuario casi nunca nota nada inusual.
Publicidad maliciosa (malvertising) - Infección a través de redes publicitarias
La publicidad maliciosa (malvertising) es una técnica que cuela anuncios maliciosos en redes publicitarias legítimas. Los atacantes compran espacios publicitarios de forma legítima e insertan código de ataque dentro de la creatividad del anuncio. En algunos casos, basta con que se muestre el anuncio (sin hacer clic en él) para que el usuario sea redirigido a un kit de exploits.
| Vector de infección | Cómo funciona | Alcance del impacto |
|---|---|---|
| Manipulación del sitio | Inyecta código de ataque en el HTML/JS de un sitio legítimo | Todos los visitantes de ese sitio |
| Publicidad maliciosa | Distribuye anuncios maliciosos a través de redes publicitarias | Visitantes de todos los sitios donde se muestra el anuncio |
| Scripts de terceros | Compromete bibliotecas o widgets de JS externos | Todos los sitios que cargan ese script |
En 2016, los espacios publicitarios de grandes sitios de noticias como MSN.com, BBC y The New York Times fueron utilizados para publicidad maliciosa, exponiendo a millones de usuarios al Angler EK. Como la infección ocurre solo por navegar en un sitio legítimo, la medida de «solo es seguro ver sitios de confianza» resulta inútil.
Relación con el ataque de abrevadero
Un ataque de abrevadero es un ataque dirigido en el que el atacante investiga primero los sitios web que los empleados de la organización objetivo visitan con frecuencia, y luego incrusta una trampa de descarga al paso en esos sitios. A diferencia de la publicidad maliciosa, que apunta al público general de forma indiscriminada, su rasgo característico es apuntar con precisión a una organización o sector concreto. Se han reportado casos en los que sitios de asociaciones sectoriales y medios especializados son utilizados como trampolín.
Defensa mediante el sandbox del navegador
Los navegadores modernos usan tecnología de sandbox para aislar el proceso de cada pestaña del sistema operativo. En la arquitectura multiproceso de Chrome, el diseño garantiza que, aunque el proceso de renderizado se vea comprometido, no pueda acceder a recursos a nivel del sistema operativo. Sin embargo, a veces se descubren vulnerabilidades de evasión del sandbox, por lo que depender únicamente del sandbox es peligroso.
- Habilitar las actualizaciones automáticas del navegador y del sistema operativo
- Eliminar los complementos innecesarios (Flash, Java)
- Instalar un bloqueador de anuncios
- Filtrado de URL a nivel de red
- «Evitar sitios sospechosos» (los sitios legítimos también son manipulados)
- Únicamente antivirus basado en firmas
- Desactivar JavaScript por completo (la usabilidad cae drásticamente)
- Depender únicamente de la formación del usuario
La importancia de la gestión de parches
La gran mayoría de las descargas al paso explotan vulnerabilidades conocidas. Aplicar a fondo la gestión de parches y mantener siempre actualizados el navegador, el sistema operativo y los complementos es la defensa más rentable. Como el código de ataque para muchas de las vulnerabilidades que persiguen los kits de exploits se incorpora a los pocos días de publicarse un parche, los retrasos en la actualización se traducen directamente en riesgo.
«Yo no hice clic en nada, así que es imposible que me infecte» es justo el tipo de suposición errónea que amplía el daño causado por las descargas al paso. Es importante transmitir de forma reiterada, a través de la formación de seguridad de la organización, que la infección se produce con solo mostrar una página.
Los riesgos de las extensiones de navegador se explican en detalle en nuestro artículo sobre seguridad de las extensiones de navegador, y la adopción segura de aplicaciones en nuestro artículo sobre cómo instalar aplicaciones de forma segura. Consulte también la protección contra ransomware.libros sobre seguridad web (Amazon) también.
¿Te resultó útil este artículo?