Los denominados exploit kits son aplicaciones web que se desarrollan utilizando tecnologías como PHP o productos de base de datos como MySQL y permiten que un usuario las aproveche en aplicaciones populares como Internet Explorer de Microsoft, Adobe Acrobat, Reader y Flash Player, entre otras. El kit se instala en un servidor web y se conecta a una base de datos para poder registrarse y crear informes.

Antiguamente, los exploit kits debían ser creados por los cibercriminales tras arduas investigaciones y un sinfín de pruebas, pero, en 2006, empezaron a aparecer los primeros kits listos para ser utilizados, como el WebAttacker, pensado para atacar a los navegadores Internet Explorer y Mozilla Firefox. Según fue aumentando la popularidad de estos kits, cada vez fueron apareciendo más. No en vano, en los últimos seis meses, el laboratorio de M86 Security ha identificado la aparición de al menos una docena de exploit kits de libre uso.

Este tipo de aplicaciones se anuncian en foros de cibercriminales o hackers y suelen tener un coste que va de los 100 dólares a los 1.000 dólares, aproximadamente. El verdadero negocio de sus creadores reside en los servicios adicionales que ofrecen: la venta de exploit kits con una tarifa plana, la posibilidad de adquirir un recambio del elemento que permite que un software antivirus no reconozca el código malicioso (obfuscator) por una cantidad adicional, un coste extra para cubrir cualquier nuevo dominio de alojamiento web (si el actual dominio es descubierto y se incluye en las listas negras de los fabricantes de soluciones de seguridad) y pagar por añadir nuevos kits para incrementar el ratio de éxito en los ataques.

virus

Sin embargo, los usuarios también reciben algunos servicios gratuitos como pueden ser el soporte continuo para sus kits, reparación de algunos gusanos o mínimos cambios de versión, tal y como hacen los fabricantes de software legítimo.

Cuando un kit se despliega con éxito, normalmente su resultado es un troyano que se descarga en el equipo de la víctima. Las técnicas de sus creadores han evolucionado tanto que normalmente nunca se da un código malicioso al mismo usuario dos veces, complicando la labor de los investigadores en seguridad que no pueden analizar el código y hallar así el modo de prevenirlo. De este modo, por sólo unos cientos de dólares, cualquiera puede convertirse en cibercriminal, incluso si tiene un mínimo conocimiento técnico.

Las técnicas del hacker

Una vez que ha sido desplegado, la única tarea que le queda al cibercriminal es conseguir que el mayor número de víctimas posible vaya a la página del exploit kit. Existen distintas opciones: utilizar el envío de mensajes de spam con un enlace apropiado, crear páginas web falsas y promoverlas a través de técnicas de SEO (Search Engine Optimization u optimización de motores de búsqueda).

Sin embargo, la técnica más efectiva es la inyección de iFrames (por ejemplo, utilizando SQL o utilizando credenciales FTP robadas) en una página web legítima, lo que permite redirigir al usuario automáticamente a la página del exploit kit.

seguridad

Los principales objetivos que persiguen los operadores de este tipo de kits a la hora de atacar el ordenador de una víctima son los siguientes:

- Robarle información crítica mediante ataques de malware que permite obtener datos y luego venderlos o usarlos.

- Utilizar los recursos informáticos de la víctima para enviar spam, lo que permite al hacker ganar dinero por el número de mensajes enviados o al apuntarse a programas de afiliación de spam como el programa “Canadian Pharmacy”.

- Instalar otro malware como el antivirus falso scareware, que promete la descarga de un antivirus y permite ganar dinero gracias al número de “registros” que se consigan o gracias a programas de pago por instalación (PPI o Pay-Per-Install).

El objetivo de este informe es no sólo explicar qué son los exploit kits, cómo funcionan y lo fáciles de utilizar que son, sino que también persigue conseguir que los usuarios de Internet que no tengan mucha formación técnica entiendan los peligros a los que se enfrentan y tengan más cuidado cuando naveguen por la Red.


Fuente: muyseguridad