Ataque de Gumblar se expande por miles de nuevos sitios

Gumblar, es un desagradable malware que fue parte de una inyección masiva de SQL en sitios web legítimos la primavera pasada. Actualmente continúa su expansión y sus creadores han estado ocupados últimamente poniendo en peligro cientos de sitios nuevos, dando lugar a una nueva oleada masiva de infecciones en los equipos de los usuarios finales.

Gumblar apareció en escena en abril, se mostró como lo último de una serie de ataques similares en los que los piratas informáticos utilizan una variedad de técnicas, generalmente inyección de SQL, para comprometer sitios web legítimos. Posteriormente plantaban malware dentro del servidor central del sitio, mediante el uso de un iFrame, o cualquier otra técnica que redirigiera a los visitantes a un servidor remoto. En el caso de Gumblar, la redirección de iFrame fue la táctica elegida y resultó muy eficaz.

En su forma original Gumblar redirigía a sus las vícimas a los sitios Gumblar.cn o Martuz.cn. Ahora la última encarnación está apuntando a las víctimas a miles de servidores en más de 200 países, según informa la investigación de Michael Molsner de Kaspersky Lab. Más de 7,200 servidores de propagación Gumblar están en los EE.UU., y muchos de los sitios comprometidos alrededor del mundo usan los dominios .gov y. edu.

Nuestros datos acumulados durante una semana mostraron 443,748 impactos de acceso en total,  y esto es sólo una parte de todo el incidente. Después de muchos días nos percatamos de esta nueva amenaza, y añadimos la detección de archivos maliciosos que atacan a Adobe Reader y Flash Player, pero muy poco se habló de ella en los círculos de seguridad. El “nuevo Gumblar” tomó algún tiempo en hacerse notar, y al parecer aun pasa desapercibido para muchos. Sin embargo, es muy activa, y ha mostrado  efectos secundarios en las línea de soporte de algunos fabricantes de PCs, que se han visto inundados con preguntas acerca de reinicios repentinos, etc . También hay informes de que las máquinas infectadas con esta variante de Gumblar no arrancan completamente, dejando la pantalla en negro y sólo el puntero del ratón visible.

Los expertos dicen que muchas de las máquinas infectadas con Gumblar u otras piezas similares de malware, vuelven a infectarse una vez que pasaron por un proceso de limpieza, debido a que los usuarios no se dan cuenta de que sus navegadores son vulnerables y que los lugares aparentemente seguros  que visitan son, de hecho, servidores de malware.