Los hackers están llevando a cabo con éxito un ataque masivo de inyección SQL contra sitios construidos sobre la plataforma ASP.Net de Microsoft. Hasta el momento, se han visto afectadas 180 mil páginas, según los expertos en seguridad de la empresa Armorize.
El nuevo ataque de inyección SQL consiste en la introducción de JavaScripts maliciosos en los sitios ASP.Net, que hacen que los navegadores carguen un iframe con uno de dos sitios remotos: www3.strongdefenseiz.in y www2.safetosecurity.rr.nu. Desde ellos, el iframe intenta instalar malware sobre la PC de la víctima utilizando diversas explotaciones “drive-by” basadas en navegador, un tipo de exploit que carga software malicioso sin que el visitante se dé cuenta de ello y que no exige que la víctima abra algún archivo o pulse un determinado enlace.
Afortunadamente, según Armorize, los atacantes están utilizando explotaciones conocidas, para las que ya existen parches disponibles, por lo que sólo tendrán éxito si los visitantes utilizan una versión no actualizada de su navegador sin la última versión de Adobe PDF, Adobe Flash o Java.
Pero la compañía advierte que pocos de los más populares proveedores de antivirus pueden detectar este malware, según el sitio web Virustotal, servicio de monitoreo de seguridad ofrecido por Hispasec Sistemas que analiza archivos y URL sospechosas. En este momento, de acuerdo con este servicio, sólo seis de los 43 paquetes antivirus que monitorean pueden descubrir el nuevo ataque de inyección SQL. En concreto, AntiVir, ByteHero, Fortinet, Jiangmin, McAfee y McAfee-GW-Edition.
Actualmente los ataques se dirigen contra usuarios cuyos usuarios tengan como lenguajes por defecto el inglés, francés, alemán, italiano, polaco y bretón. Uno de los sitios a los que se accede vía el iframe se encuentra en Rusia y el otro en Estados Unidos; éste último está hospedado por HostForWeb.com.