Iattp, Web, internet y conectividad

Ordenadores, informática, creación web y redes sociales para autónomos y particulares.

Infección Drive-by-Download

Carmen jueves, agosto 02, 2012

Drive-by-Download: infección a través de sitios web.


La metodología de ataque denominada Drive-by-Download permite infectar masivamente a los usuarios simplemente ingresando a un sitio web determinado. Mediante esta técnica, los creadores y diseminadores de malware propagan sus creaciones aprovechando las vulnerabilidades existentes en diferentes sitios web e inyectando código dañino entre su código original.

En una descarga tipo "drive-by", el equipo del usuario se infecta con solo visitar un sitio web que contenga un código malicioso. Los ciberdelincuentes buscan en Internet servidores vulnerables que puedan capturar. En estos servidores, los ciberdelincuentes inyectan su código malicioso (a menudo en forma de script malicioso) en las páginas web. Si el sistema operativo del equipo o una de sus aplicaciones no cuenta con los debidos parches (actualizaciones), un programa malicioso se descargará en el equipo de manera automática cuando visite la página web infectada.

Por lo general, el proceso de ataque se lleva a cabo de manera automatizada mediante la utilización de herramientas que buscan en el sitio web alguna vulnerabilidad y, una vez que la encuentran, insertan un script malicioso entre el código HTML del sitio vulnerado.



  1. Al comenzar el proceso, el usuario malicioso (atacante) inserta en la página web vulnerada un script malicioso
  2. Un usuario (víctima) realiza una consulta (visita la página) al sitio comprometido.
  3. El sitio web consultado (servidor o aplicación web vulnerable) devuelve la petición (visualización de la página) que contiene embebido en su código al script dañino previamente inyectado.
  4. Una vez descargado dicho script al sistema de la víctima, éste realiza una nueva petición a otro servidor. Esta petición es la solicitud de diversos scripts con exploits, que tienen el objetivo de comprobar si en el equipo víctima existe alguna vulnerabilidad que pueda ser explotada. Se intentan explotar diversas vulnerabilidades, una tras otra, hasta que alguna de ellas tenga éxito, y en caso de encontrarse alguna vulnerabilidad, se ejecutará un script que invoca la descarga de un archivo ejecutable (malware) desde otro servidor (o desde el anterior).

En consecuencia, la infección del equipo se habrá llevado a cabo a través de vulnerabilidades en el sistema del usuario.

Es importante destacar que la mayoría de las vulnerabilidades explotadas ya han sido solucionadas hace tiempo por el fabricante del software, pero su explotación tiene éxito porque el usuario no ha parcheado su sistema. El único caso en que el usuario no será infectado es aquel en que el sistema se encuentre totalmente parcheado y ninguna vulnerabilidad pueda sea explotada, y por supuesto realizar una navegación segura.

En siguientes post hablaremos de una navegación segura por internet. No te los pierdas!!!

0 comentarios:

Publicar un comentario