Después de unos pocos meses de descanso, SQL Web Attack se expande

Una red botnet de computadoras pirateadas ha vuelto a la vida en los últimos días y ha comenzado a infectar sitios web para que ataquen PC de visitantes desprevenidos.

Asprox se llama Asprox, después del conjunto de herramientas utilizado en sus ataques, esta red llamó la atención en mayo y junio cuando infectó un estimado de decenas de miles de páginas web en más de 1,000 dominios web, por lo general infectando los sitios web de pequeñas empresas, escuelas y gobiernos locales.

"Después de varios meses sin actividad, esta botnet vuelve a sus viejos trucos ", escribió Gary Warner, director de investigación en informática forense de la Universidad de Alabama en Birmingham, en una publicación de blog del jueves.

[Más información: cómo eliminar el malware de tu PC con Windows]

Proveedor de seguridad SecureWorks retomó el ataque "hace un par de días" cuando notó un repunte en los llamados ataques de inyección SQL contra los clientes de la compañía, según Jason Milletary, un investigador de seguridad de la compañía. Sin embargo, no está claro si los ataques son tan virulentos como antes, dijo.

En un ataque de inyección SQL, los delincuentes aprovechan los errores de programación de la base de datos para engañar a los sitios web y publicar su código de ataque. Con Asprox, este proceso de inyección SQL está automatizado, por lo que puede agregar malware a muchos sitios web en muy poco tiempo.

Asprox coloca un poco de código JavaScript en el sitio web pirateado que genera un elemento HTML invisible, llamado iFrame, que a su vez lanza el código de ataque. Según Warner, al menos algunas muestras del código Asprox actual explotan un error en Adobe Flash Player.

Investigadores del grupo de vigilancia de seguridad Shadowserver dicen que han rastreado más de 2.000 páginas web que han sido infectadas por este último ataque Asprox, muchas menos páginas web que fueron atacadas con la primera versión del malware.

En una entrevista por correo electrónico, Mike Johnson de Shadowserver dijo que la pandilla Asprox ha revisado su malware, cambiando la estructura del archivo de configuración de su código y añadiendo nuevos comando y control de computadoras que no han usado en el pasado. "Parece como si comenzaran de cero después de perder el control de la botnet anterior", dijo.

Asprox no es actualmente un problema importante para la mayoría de los usuarios de la Web, dicen los expertos en seguridad; es solo otra señal de los peligros omnipresentes en la Web.

"La gente debería estar esperando sitios maliciosos", dijo Johnson. "La gente debería esperar que sitios inocentes se vean comprometidos de alguna manera, forma o forma que a su vez intente atacar el navegador".