Una nueva amenaza de rápida propagación en la Web afectó a miles de sitios italianos, en su mayoría vinculados al turismo, según detectó Trend Micro.

Estas páginas, aparentemente legítimas, fueron infectadas con un código malicioso que puede instalar un programa keylogger para robar contraseñas de los usuarios y transformar a las computadoras en servidores Proxy (computadoras zoombies) para otros tipos de ataque diferentes.

Datos reunidos por Trend dan cuenta de que decenas de miles de usuarios en el mundo ya han accedido a estas URLS infectadas, incrementando así el área de propagación de la amenaza.

En cuanto a la operatoria del código malicioso principal, éste aprovecha una vulnerabilidad en los llamados "iFrames" (elementos de HTML que permiten insertar otro documento HTML en una página Web), que son muy utilizados en los websites y que son frecuentemente explorados en ataques de este tipo.

Un primer nivel de URLS es infectado o hackeado a partir de websites italianos legítimos, que en su mayoría, promueven servicios turísticos locales como hoteles, alquiler de autos, entre otros.

Estos websites son hackeados y una dirección IP maliciosa (HTML_IFRAME.CU) es insertada en el código html del website legítimo para que los visitantes sean redirigidos a otro sitio web que contiene un javascript downloader.

A su vez, este tercer nivel de URLs ejecuta la descarga de otro Troyano, a partir de un cuarto nivel de URL; esta es la URL para el TROJ_SMALL.HCK. Este Troyano descarga otros troyanos adicionales, TROJ_AGENT.UHL y TROJ_PAKES.NC desde dos distintas URLs de quinto nivel.

El Troyano PAKES descarga un programa de robo de información, que es una variante del Troyano SINOWAL, a partir de un sexto nivel de URL.

Trend Micro puso a disposición de los internautas su herramienta gratuita HouseCall, que escanea la computadora y detecta si fue infectada.

Fuente: DyN