¿Que es el malware de paginas web?

Malware en sitios web

El malware de sitio web es un termino general utilizado para describir el software que se ha desarrollado con propósito malicioso para funcionar en un sitio web o servidor web.Dado el gran volumen de servicios y aplicaciones web disponibles en la web,no es sorprendente que la popularidad de estas aplicaciones y servicios también atraiga a los cibercriminales con la esperanza de aprovechar la poca seguridad o las vulnerabilidades conocidas en su beneficio.

Compartir:

¿que hace el malware del sitio web?

A diferencia de las aplicaciones de software útiles diseñadas para beneficiar a los websmasters,el malware del sitio web es intencionalmente dañino y se crea para dañar o monetizar ilegitimamente el entrono comprometido de un sitio web.La mayoría del malware del sitio web contiene características que permiten a los atacantes evadir la detección o ganar y mantener el acceso no autorizado a un entorno comprometido.Algunos tipos comunes de malware de sitios web incluyen ladrones de tarjetas de crédito,contenido de spam inyectado,redireccionamientos maliciosos o incluso alteraciones del sitio web.

El malware del sitio web puede afectar negativamente al sitio y a sus visitantes de varias maneras.Dependen de lo que motiva al ciberdelincuente,Las razones incluyen ganancias financieras,activismo (Hactivismo).

Por ejemplo,imaginemos navegar en su pagina web solo para descubrir que ha sido redirigido instantáneamente a otro lugar.O tal vez invierta meses en su estrategia de SEO orgánica,solo para recibir una notificación de Google de que ha sido incluido en la lista negra porque se sospecha que su dominio sirve de spam.

Puede visitar su pagina web favorita solo para ver un anuncio emergente que indique que su maquina ha sido infectada y necesita comunicarse con un numero de «Soporte tecnico» para limpiar el malware. Tal vez compre una camiseta en linea,solo para descubrir semanas mas tarde que su tarjeta de crédito e información personal fueron desviadas por un atacante.

¿COMO LLEGA EL MALWARE A LAS PAGINAS WEB?

A raíz de un ataque,puede ser difícil entender como un sitio web se infecto en primer lugar.El malware generalmente se planta dentro del entrono de un sitio utilizando alguno de los siguientes métodos.

1-PROBLEMAS DE SEGURIDAD DE CREDENCIALES Y CONTROL DE ACCESO

Si los controles de acceso de un sitio web no se han configurado y endurecido adecuadamente,los ciberdelincuentes pueden aprovechar una variedad de vectores de ataque.Los métodos populares incluyen el uso de herramientas de fuerza bruta para atacar las paginas predeterminadas de inicio de sesión del administrador,manipular meta datos o cookies para elevar los privilegios,o simplemente adivinar las credenciales.

Los controles de acceso incorrectos pueden hacer que un atacante obtenga acceso no autorizado a su servidor,panel de control de alojamiento o incluso al panel de administración de su sistema de administración de contenido (CMS).Es importante proteger cada una de estas áreas con credenciales de inicio de sesión solidas y autenticacion multifactor,y restringir el acceso para evitar ataques de fuerza bruta.

Ademas asegurese de no haber otorgado acceso innecesario a los usuarios que trabajan en su sitio web.Cada punto de acceso es un objetivo para los atacantes.

Control de acceso a paginas web

VULNERABILIDADES DE SOFTWARE

No instalar actualizaciones en sus paginas web es una de las formas mas fáciles de invitar al malware a su sitio web.Los atacantes regularmente atacan vulnerabilidades en componentes de terceros obsoletos para obtener acceso al medio ambiente y explorar sus recursos.

Lo que es peor es que los ataques dirigidos a vulnerabilidades conocidas a menudo están automatizados.Los atacantes pueden ejecutar scripts que escanean rápidamente la web para identificar y atacar sitios con software vulnerable.Cuando se revela una vulnerabilidad de día cero,estos ataques automáticos pueden aumentar rápidamente,lo que resulta en miles de infecciones dentro de un par de días después de una divulgación de vulnerabilidad.

La forma mas fácil de mitigar el riesgo de las vulnerabilidades de software conocidas es asegurarse de que su CMS y cualquiera de sus componentes siempre estén ejecutando los últimos parches de seguridad,o mediante el uso de un firewall de aplicación web para virtualmente parchearlos.

Vulnerabilidades de software

COMPONENTES DE TERCEROS MANIPULADOS

Muchos de los llamados componentes premium «anulados» pueden descargarse e instalarse de forma ilegitima de forma gratuita. Sin embargo estos tipos de componentes pirateados casi siempre se alteran para incluir la funcionalidad de puerta trasera,la funcionalidad de anuncios no deseados o el código que inyecta spam SEO en los sitios web que los instalan.

Por ejemplo los operadores del malware WP-VCD mantienen cientos de sitios de «descarga gratuita» donde cada plugin o tema descargado esta infectado.

INTEGRACIONES DE TERCEROS O SCRIPTS

Los sitios web actuales utilizan libremente scripts de terceros para ampliar la funcionalidad,pero esto conlleva una serie de riesgos de seguridad.Cada vez que aplicamos una integración de terceros o un activo a la funcionalidad de un sitio web,aumenta la superficie de ataque potencial,que a menudo esta completamente fuera de control.

Por ejemplo,las integraciones y scripts de terceros como widgets,servicios de seguimiento,scripts de anuncios,contadores de sitios o complementos sociales pueden quedar obsoletos,pirateados o caer en las manos equivocadas,lo que lleva a un comportamiento malicioso en su pagina web.

Dado que un webmaster no puede controlar los activos de terceros y por lo general ni siquiera comprende completamente como funcionan en primer lugar,puede ser difícil determinar que activos de terceros realizan actividades maliciosas.Ademas de eso,incluso si determina que activo es responsable,puede ser muy difícil rectificar el problema si el sitio depende en gran medida de la integración o scripts comprometidos.

El mejor curso de acción es minimizar el uso de los activos de terceros y filtrar y examinar exhaustivamente cualquier integración o secuencia de comandos antes de aplicarlos a su sitio web.

Srcipts maliciosos

CONTAMINACIÓN ENTRE SITIOS Y CONFIGURACIONES INADECUADAS DE ALOJAMIENTO COMPARTIDO

Si bien varios dominios pueden verse completamente diferentes en un navegador web,de hecho pueden pertenecer a la misma cuenta de alojamiento en un servidor.Esto es especialmente común para agencias o desarrolladores con múltiples proyectos,que alojan una variedad de sitios en un solo servidor o host compartido.

Esto significa que no existe una separación real entre ellos a nivel de servidor.Si los ciberdelincuentes logran comprometer un sitio,automáticamente obtienen acceso a todos los otros sitios que comparten la misma cuenta.

Cuando un sitio web sufre múltiples reinfecciones y es uno de los muchos en una cuenta,hay muchas probabilidades de que sufra contaminación cruzada.Muchos scripts de malware incluyen la capacidad de descubrir e infectar todos los sitios accesibles desde el servidor de un sitio web inicialmente comprometido.

La mayoría de las reinfecciones debidas a la contaminación entre sitios se producen porque hay una variedad de sitios web mal configurados u olvidados en la misma cuenta.Otro problema común es que los servidores en si mismos han sido mal configurados y los sitios vecinos no están aislados adecuadamente.

Ataques informáticos a hosting

INGENIERIA SOCIAL

Los ciberdelincuentes puede intentar engañar a los webmasters para instalar malware o solicitar actualizar su sitio y navegar a una copia de phishing de una pagina de inicio de sesión donde se pueden robar las credenciales del sitio.

INFECCIONES A NIVEL DE SERVIDOR

En ocasiones los ciberdelincuentes pueden realmente infectar el servidor web.Cuando esto sucede los sitios web que han sido alojados en el servidor pueden comenzar a exhibir un comportamiento malicioso cuando ninguno de los archivos reales del sitio han sido infectados.

Un ejemplo bien conocido de una infección a nivel de servidores es DARKLEECH,malware que los atacantes instalan en forma de módulos de servidores web maliciosos que requieren la reparación del acceso al al servidor raíz.

Ataques a servidores de paginas web