El malware de sitios web es software dañino que se ha desarrollado con la intención de llevar a cabo una actividad maliciosa contra un sitio web o sus visitantes.
Los objetivos del código malicioso de un sitio web pueden variar desde robar información confidencial, interrumpir la disponibilidad, redirigir a los visitantes a páginas de spam, secuestrar completamente el sitio web o incluso infectar al visitante con alguna otra pieza de malware.
Hay muchos tipos de malware de sitios web, cada uno diseñado para ejecutar actividades maliciosas. Es importante eliminar el malware del sitio web lo antes posible para reducir el riesgo para los visitantes, proteger la reputación de su sitio, mitigar los problemas de SEO y evitar advertencias de seguridad o listas de bloqueo de autoridades como Google.
¿Qué es el malware de sitios web?
El malware de sitios web es un término general que se utiliza para describir el software que se ha desarrollado con un propósito malicioso para funcionar en un sitio web o servidor web.
Dado el gran volumen de servicios y aplicaciones web disponibles en la web, no es sorprendente que la popularidad de estas aplicaciones y servicios también atraiga a los ciberdelincuentes con la esperanza de aprovechar la seguridad deficiente o las vulnerabilidades conocidas en su beneficio.
A diferencia de las aplicaciones de software útiles diseñadas para beneficiar a los webmasters, el malware de sitios web es intencionalmente dañino y se crea para dañar o monetizar ilegítimamente el entorno comprometido de un sitio web.
La mayoría del malware de sitios web contiene características que permiten a los atacantes evadir la detección o obtener y mantener el acceso no autorizado a un entorno comprometido. Algunos tipos comunes de malware de sitios web incluyen ladrones de tarjetas de crédito, contenido de spam inyectado, redireccionamientos maliciosos o incluso desfiguraciones de sitios web.
¿Qué hace el malware de sitios web?
El malware del sitio web puede afectar negativamente al sitio y a sus visitantes de diversas formas. Dependen de lo que motiva al hacker. Las razones incluyen la ganancia financiera, el activismo (llamado «hacktivismo» en este contexto) o simplemente la construcción de una reputación como un mal actor.
Por ejemplo, imagine que navega a su sitio web solo para descubrir que ha sido redirigido instantáneamente a otro lugar. O tal vez invierte meses en su estrategia orgánica de SEO, solo para recibir una notificación de Google de que ha sido bloqueado porque se sospecha que su dominio envía spam.
Es posible que visite su sitio favorito solo para ver un anuncio emergente de que su computadora ha sido infectada y necesita comunicarse con un número de «soporte técnico» para limpiar el malware. Tal vez compre una camiseta en línea, solo para descubrir semanas más tarde que un atacante ha robado su tarjeta de crédito y su información personal.
¿Cómo llega el malware a su sitio web?
Después de un ataque, puede ser difícil comprender cómo se infectó un sitio web en primer lugar. El malware generalmente se planta en el entorno de un sitio mediante uno de los siguientes métodos.
1. Problemas de seguridad de las credenciales y control de acceso
Si los controles de acceso de un sitio web no se han configurado y reforzado correctamente, los piratas informáticos pueden aprovechar una variedad de vectores de ataque. Los métodos populares incluyen el uso de herramientas de fuerza bruta para atacar las páginas de inicio de sesión de administrador predeterminadas, la manipulación de metadatos o cookies para elevar los privilegios o simplemente adivinar las credenciales.
Los controles de acceso incorrectos pueden hacer que un atacante obtenga acceso no autorizado a su servidor, panel de control de alojamiento o incluso al panel de administración de su sistema de administración de contenido (CMS). Es importante proteger cada una de estas áreas con credenciales de inicio de sesión sólidas y autenticación multifactor, y restringir el acceso para evitar ataques de fuerza bruta.
Además, asegúrese de no otorgar acceso innecesario a los usuarios que trabajan en su sitio. Cada punto de acceso es un objetivo para los malos actores.
2. Vulnerabilidades de software
No instalar actualizaciones en sus sitios web es una de las formas más fáciles de invitar malware a su sitio web. Los malos actores se dirigen regularmente a vulnerabilidades en componentes de terceros obsoletos para obtener acceso al medio ambiente y explotar sus recursos.
Lo que es peor es que los ataques dirigidos a vulnerabilidades conocidas suelen ser automatizados: los atacantes pueden ejecutar scripts que escanean rápidamente la web para identificar y apuntar a sitios con software vulnerable. Cuando se divulga una vulnerabilidad de día cero , estos ataques automatizados pueden aumentar rápidamente, lo que resulta en miles de infecciones en un par de días después de la divulgación de la vulnerabilidad.
La forma más fácil de mitigar el riesgo de vulnerabilidades de software conocidas es asegurarse de que su CMS y cualquiera de sus componentes estén siempre ejecutando los últimos parches de seguridad, o mediante el uso de un firewall de aplicaciones web para parchearlos virtualmente.
3. Componentes de terceros alterados o anulados
Muchos de los componentes premium denominados «anulados» se pueden descargar e instalar de forma ilegítima y gratuita. Sin embargo, estos tipos de componentes pirateados casi siempre se manipulan para incluir funciones de puerta trasera, funciones publicitarias no deseadas o código que inyecta spam de SEO en los sitios web que los instalan.
Por ejemplo, los operadores del malware WP-VCD mantienen cientos de sitios de «descarga gratuita», donde todos los complementos o temas descargados están infectados.
4. Integraciones o secuencias de comandos de terceros
Los sitios web modernos utilizan generosamente scripts de terceros para ampliar la funcionalidad, pero esto conlleva una serie de riesgos de seguridad. Cada vez que aplica una integración o un activo de terceros a la funcionalidad de un sitio web, aumenta la superficie de ataque potencial, que a menudo está completamente fuera de su control.
Por ejemplo, las integraciones y los scripts de terceros como widgets, servicios de seguimiento, scripts de anuncios, contadores de sitios o complementos sociales pueden quedar obsoletos, pirateados o caer en las manos equivocadas, dando lugar a un comportamiento malicioso en su sitio web.
Dado que un webmaster no puede controlar los activos de terceros, y por lo general ni siquiera comprende completamente cómo funcionan en primer lugar, puede ser complicado averiguar si (y qué) activo de terceros está realizando una actividad maliciosa. Además de eso, incluso si averigua qué activo es responsable, puede ser muy difícil rectificar el problema si el sitio depende en gran medida de la integración o el script comprometido.
El mejor curso de acción es minimizar el uso de activos de terceros y examinar y examinar minuciosamente cualquier integración o script antes de aplicarlos a su sitio web.
5. Contaminación entre sitios y configuraciones de alojamiento compartido incorrectas
Si bien varios dominios pueden verse completamente diferentes en un navegador web, de hecho pueden pertenecer a la misma cuenta de alojamiento en un servidor. Esto es especialmente común para agencias o desarrolladores con múltiples proyectos, que albergan una variedad de sitios en un solo servidor o host compartido.
Esto significa que no existe una separación real entre ellos a nivel de servidor. Si los piratas informáticos logran comprometer un sitio, automáticamente obtienen acceso a todos los demás sitios que comparten la misma cuenta.
Cuando un sitio web sufre múltiples reinfecciones y es uno de los muchos en una cuenta, es muy probable que esté sufriendo de contaminación entre sitios. Muchos scripts de malware incluyen la capacidad de descubrir e infectar todos los sitios accesibles desde el servidor de un sitio web inicialmente comprometido.
La mayoría de las reinfecciones que se deben a la contaminación entre sitios ocurren porque hay una variedad de sitios web olvidados o mal configurados en la misma cuenta. Otro problema común es que los propios servidores se han configurado mal y los sitios vecinos no están debidamente aislados.
6. Ingeniería social
Los piratas informáticos pueden intentar engañar a los webmasters para que instalen malware o solicitar que actualicen su sitio y los dirijan a una copia de phishing de una página de inicio de sesión donde se pueden robar las credenciales del sitio.
7. Infecciones a nivel de servidor
En ocasiones, los piratas informáticos pueden llegar a infectar el propio servidor web. Cuando esto sucede, los sitios web que se han alojado en el servidor pueden comenzar a mostrar un comportamiento malicioso cuando ninguno de los archivos del sitio real ha sido infectado.
Un ejemplo bien conocido de infección a nivel de servidor es Darkleech , un malware que los piratas informáticos instalan en forma de módulos de servidor web maliciosos que requieren que se solucione el acceso al servidor raíz.
¿Cuáles son los diferentes tipos de malware de sitios web?
Cualquier software desarrollado con un propósito malicioso puede clasificarse como malware. Esta es una definición amplia y el malware de sitios web puede presentarse en muchas formas y tamaños. Sin embargo, nuestro equipo de investigación de amenazas se ha basado en su propia experiencia real para definir algunos de los tipos más comunes de malware de sitios web.
1. Redireccionamientos condicionales
Cuando los piratas informáticos comprometen un sitio web, pueden agregar código malicioso para redirigir a usuarios específicos a otro sitio web. Algunos métodos comunes utilizados por los atacantes incluyen modificar las reglas de configuración del servidor web a través de los archivos .htaccess o web.config, agregar scripts del lado del servidor o incluso incluir JavaScript del lado del cliente para crear estos redireccionamientos maliciosos.
Para lograr los elementos condicionales, los atacantes limitan regularmente los redireccionamientos a remitentes o agentes de usuario para apuntar a visitantes específicos y evitar la detección. Los destinos finales a menudo están infectados con malware o configurados para phishing, mientras que el sitio web original es bloqueado por las autoridades de los motores de búsqueda.
2. Spam de SEO
Los motores de búsqueda se actualizan continuamente para detectar y filtrar sitios web sospechosos de sus resultados, pero eso no siempre disuade con éxito a los malos actores de secuestrar las clasificaciones de sitios web legítimos.
De hecho, el spam de SEO es una de las formas más lucrativas de monetizar un sitio pirateado, y también una de las formas más frecuentes de infecciones que vemos durante las limpiezas. Los enfoques comunes para inyectar spam de SEO incluyen inyectar código HTML para elementos ocultos en archivos de sitios web o inyectar publicaciones de spam falsas en la propia base de datos.
En lugar de obtener clasificaciones de la forma en que lo hacen la mayoría de los sitios web legítimos, como escribir contenido atractivo u ofrecer servicios valiosos, los atacantes simplemente inyectan palabras clave de SEO, enlaces de spam, anuncios o incluso páginas enteras en un sitio web comprometido para dirigir el tráfico al contenido que desean. rango para.
Básicamente, esta táctica permite a un atacante mejorar su propia clasificación con un esfuerzo mínimo, y el contenido de spam generalmente abarca desde productos farmacéuticos, juegos de azar en línea, pornografía y otros temas menos sabrosos.
Los tipos de pirateo de SEO más comunes se componen de enlaces invisibles inyectados en las páginas del sitio existente. Básicamente, esto crea secciones completas del sitio web que pueden variar desde unas pocas hasta miles de páginas.
3. JavaScript malicioso
JavaScript es un lenguaje de programación popular que se usa ampliamente en la web para implementar funciones complejas en páginas web, plataformas CMS y otras aplicaciones importantes. Este robusto lenguaje de programación es ejecutado por el navegador, también presenta vulnerabilidades nuevas y únicas, y es especialmente útil para los atacantes una vez que obtienen acceso a un entorno comprometido.
Tras la inyección inicial, los delincuentes suelen adjuntar su código malicioso en la parte superior de un sitio web legítimo, engañando al navegador para que ejecute malware cada vez que se carga el sitio.
Estas inyecciones de JavaScript maliciosas permiten a los piratas informáticos modificar fácilmente el comportamiento de una página web. Se puede utilizar para redirigir a los visitantes a sitios de terceros, instalar silenciosamente malware en las computadoras de los visitantes (descargas no deseadas), mostrar anuncios no deseados o extraer criptomonedas en las computadoras de los visitantes del sitio.
El notorio malware Magecart que roba los detalles de las tarjetas de crédito de las páginas de pago de los sitios de comercio electrónico también viene en una variedad de JavaScript maliciosos diferentes.
La secuencia de comandos entre sitios, comúnmente conocida como XSS, es una de las amenazas más importantes para los sitios web modernos. Ciertos ataques inyectan scripts que se dirigen específicamente a administradores de sitios autenticados; cuando se ejecutan en el contexto y con el permiso de dichos usuarios, el script malicioso puede crear silenciosamente nuevos usuarios administradores fraudulentos o aflojar la configuración de seguridad del sitio, lo que facilita el control de todo el sitio.
Si bien JavaScript solo se ejecuta en el lado del cliente y no en el nivel del servidor, también se puede usar para interactuar con un sitio web realizando solicitudes en segundo plano. Los atacantes pueden utilizar estas solicitudes para recopilar análisis sobre el navegador de un visitante, realizar acciones de forma asincrónica o incluso agregar contenido de spam no deseado a una página web sin actualizarla.
4. Desfiguraciones
Los piratas informáticos a menudo desfiguran los sitios web para ganar prestigio, hacer alarde de sus habilidades en su comunidad o compartir un mensaje centrado en objetivos políticos, ideológicos o religiosos.
Esencialmente una forma de vandalismo digital, la desfiguración de un sitio web es uno de los signos más obvios de un compromiso. Las alteraciones generalmente incluyen un mensaje de que el sitio ha sido pirateado junto con créditos a quienquiera que lo haya comprometido.
5. Phishing
Por lo general, se utilizan para engañar a los destinatarios para que revelen información personal o de inicio de sesión, los ataques de phishing ocurren cuando un mal actor finge ser otra persona para obtener información o acceso privilegiado. Las campañas de phishing pueden venir en una variedad de formatos, desde páginas de inicio de sesión falsas para marcas de renombre, portales bancarios en línea, páginas de destino para redes sociales populares o incluso portales de correo web.
Algunas características comunes del phishing en sitios web incluyen solicitudes extrañas de lo que parecen ser empresas reconocibles, experiencias de usuario que contienen un sentido de urgencia para manipular a las víctimas para omitir detalles que de otro modo podrían notar, o páginas de inicio de sesión cuidadosamente diseñadas que intentan convencer a los usuarios de que están iniciando sesión. un servicio válido.
El phishing puede ser difícil de detectar, ya que los delincuentes ocultan regularmente sus páginas maliciosas en las profundidades de la estructura de directorios del sitio web. Como propietario de un sitio web, es posible que nunca revise el directorio comprometido y, a menos que sepa la URL exacta de la página de phishing que se ha colocado en su sitio, es posible que nunca se dé cuenta del compromiso en primer lugar.
Para mitigar el riesgo, puede crear una cuenta en Google Search Console o configurar el monitoreo del sitio web para notificarle sobre problemas de seguridad como el phishing.
6. Puertas traseras
Cuando los piratas informáticos ponen en peligro un sitio web, a menudo introducen un código malicioso que les permite mantener o recuperar el acceso no autorizado después de la infección inicial. De hecho, las puertas traseras se encuentran entre los programas maliciosos más comunes que se encuentran en un sitio web pirateado.
Las puertas traseras pueden variar desde simples hasta extremadamente complejas. Una variedad común incluye los cargadores de puerta trasera de ejecución remota de código, que efectivamente permiten a los atacantes ejecutar código mediante solicitudes POST, GET o COOKIE sin el consentimiento de los webmasters. Otros cargadores pueden permitir que los piratas informáticos carguen archivos maliciosos como spam o herramientas de piratería en el sistema de archivos de un sitio web. Otra táctica común es modificar o crear nuevas cuentas de usuario con privilegios escalados.
7. Hacktools
Los hacktools son scripts que los atacantes utilizan para lograr un objetivo malicioso específico. Por lo general, estas herramientas no afectan al sitio web en sí, sino que aprovechan los recursos del servidor para actividades maliciosas.
Algunos ejemplos de hacktools comunes incluyen el envío de correos electrónicos no deseados, herramientas utilizadas para ataques DDoS, scripts utilizados para identificar sitios vulnerables en un servidor compartido, scripts de botnet o herramientas utilizadas para desfiguraciones masivas.
Otra herramienta de hackeo común incluye a los ladrones de configuración, que obtienen direcciones de servidores de bases de datos desde entornos de alojamiento compartido, roban credenciales de archivos de configuración y obtienen datos de otros recursos de configuración en el servidor.
8. Ladrones de tarjetas de crédito y malware de comercio electrónico
Uno de los enfoques más directos y obvios para generar ganancias en un sitio web comprometido, los ladrones de tarjetas de crédito y el malware de comercio electrónico generalmente recopilan datos valiosos de tarjetas de crédito e información personal confidencial antes de pasarla al mal actor.
Los atacantes a menudo aprovechan las vulnerabilidades conocidas, las credenciales comprometidas o los problemas de seguridad dentro de los entornos de alojamiento para infectar un sitio web de comercio electrónico. Una vez implantado, este tipo de malware puede tener impactos devastadores para un sitio web, incluidos impactos en la reputación de la marca, problemas de cumplimiento de PCI y multas considerables; incluso puede perder la capacidad de recibir pagos de los clientes.
El malware que roba tarjetas de crédito se puede encontrar en una gran variedad de formatos, desde inyecciones de JavaScript, código ofuscado minimalista y malware inyectado directamente en la base de datos. Tan pronto como los atacantes obtienen datos robados de un sitio web comprometido, a menudo se filtran en línea a foros de blackhat o se venden en la web oscura, lo que destaca la importancia de la detección temprana y la prevención antes de que cualquier daño pueda llegar a los visitantes del sitio.
