Inicio /Nuevas formas que los atacantes utilizan para comprometer sitios Web

Nuevas formas que los atacantes utilizan para comprometer sitios Web

Enviado por csirtutpl el Sáb, 02/27/2021 - 22:24

Es común que cibercriminales moneticen el compromiso de un sitio que aloja millones de datos personales o de un sitio para realizar compras online en el que se los usuarios ponen datos sensibles a la hora de realizar un pago electrónico; sin embargo, resulta novedoso ver como ahora incluso comprometen sitios web sin un atractivo obvio. Por ello presentamos las formas comunes en las que los cibercriminales utilizan los sitios web comprometidos para sus fines maliciosos y porque todos los sitios pueden ser un blanco atractivo.

Para inyectar un backdoor

Tras infectar por primera vez un sitio, los atacantes pueden explotar alguna vulnerabilidad para inyectar un backdoor o puerta trasera en formato de código dentro del sitio que les permitirá acceder nuevamente al sitio pese a ser desinfectado. Asimismo, un backdoor permite al atacante tener control del sitio de manera remota y puede utilizarlo de diversas maneras.

Para realizar ataques de defacement

Un ataque de defacement ocurre cuando un atacante aprovecha una vulnerabilidad para modificar la apariencia visual de un sitio web. Similar a un grafitti, los actores malintencionados plasman un mensaje en particular o su propia firma dejando en claro que son los responsables de los evidentes cambios en el sitio con el objetivo de ganar popularidad entre sus pares.

Para realizar un ataque de inyección de contenido SEO

 Dado que la calidad y cantidad de enlaces que recibe un sitio web es un factor importante en el posicionamiento en los motores de búsqueda, los ataques de inyección SEO son aquellos en los que un atacante busca comprometer un sitio para colocar enlaces hacia otros sitios bajo su control con la intención de mejorar su posicionamiento y aumentar su alcance.

Para la creación de páginas de spam

Similar al ataque de inyección de contenido SEO, el objetivo de este ataque es aumentar la popularidad de un sitio en un motor de búsqueda. Como contraparte, lo inyectado en el sitio comprometido no se trata de enlaces, sino de múltiples páginas HTML que incluyen enlaces a contenido spam o contenido indeseado, como publicidad o enlaces a sitios afiliados con fines monetarios.

Para la creación de mailers en PHP
Los mailers son scripts, usualmente escritos en lenguaje PHP, que permiten enviar correos electrónicos a partir de un servidor. Usualmente, los atacantes abusan de estos para vulnerar el mecanismo de envío de correos del servidor del sitio, tomando control para poder difundir sus propias comunicaciones.  Estas pueden variar desde spam o publicidad indeseada, hasta campañas de phishing para robar información o descargar malware.

Para distribuir campañas de phishing
Los atacantes se aprovechan de sitios web vulnerables para alojar en ellos páginas de phishing que utilizan en sus campañas. El phishing es un clásico de los ataques de ingeniería social. Consiste en el envío de correos electrónicos en los que se suplanta la identidad de algún remitente confiable (por ejemplo, un banco o tienda online), el cual supuestamente solicita al receptor que haga clic en un enlace malicioso para luego ser dirigido a una página en la cual deberá ingresar sus datos personales, como credenciales o datos bancarios, con motivo de resolver alguna urgencia o problema de gravedad. El phishing es, por lejos, el método más popular de robo de información en circulación.

Para redireccionar a los usuarios a sitios maliciosos
Un redireccionamiento malicioso es aquel que lleva a usuarios legítimos a ingresar a una página web que no se corresponde con el enlace en el cual hicieron clic.

Para utilizarlos como Command & Control
En el caso de botnets compuestas a partir de sitios web comprometidos, los atacantes utilizan estos sitios también como C&C para comunicarse con los sitios y/o dispositivos que conforman la botnet. Una botnet es una red de sitios o dispositivos infectados, conocidos como “zombies”, que son controlados por el atacante mediante un servidor maestro para realizar acciones maliciosas o expandirse a otros dispositivos. Este servidor maestro, también conocido como Comando & Control (C&C, por sus siglas en inglés o C2), debe pasar desapercibido el mayor tiempo posible.

Para inyectar un malware para minar criptomonedas
Un atacante puede comprometer un sitio para inyectar un script para utilizar los recursos del equipo del visitante, sin su consentimiento, para minar criptomonedas. Mediante una puerta de entrada, como un backdoor o una botnet, los atacantes pueden instalar en sitios comprometidos un minero de criptomonedas. En este ataque, lo que se aprovecha son los recursos del hosting del sitio, independientemente del tráfico que reciba.
 

Fuente

https://www.welivesecurity.com/la-es/2021/02/23/formas-atacantes-utiliza...

Tags: 
#UTPLCuidaTuInformación
#CiberseguridadUTPL
#UTPL
#Loja
#Ecuador

Añadir nuevo comentario

Más información sobre los formatos de texto

Filtered HTML

  • Las direcciones de las páginas web y las de correo se convierten en enlaces automáticamente.
  • Etiquetas HTML permitidas: <a> <em> <strong> <cite> <blockquote> <code> <ul> <ol> <li> <dl> <dt> <dd>
  • Saltos automáticos de líneas y de párrafos.

Plain text

  • No se permiten etiquetas HTML.
  • Las direcciones de las páginas web y las de correo se convierten en enlaces automáticamente.
  • Saltos automáticos de líneas y de párrafos.
Copyright 2023. Universidad Técnica Particular de Loja
Políticas de Privacidad | Términos y condiciones