Hasta el momento, los pronósticos hechos por varias firmas de seguridad informática en lo que tiene que ver con las amenazas que estarían al orden del día este año en el mundo se han cumplido al pie de la letra.

Hace menos de un mes, ENTER.CO alertó sobre la amenaza LizaMoon, que hasta el momento no ha sido controlada y sigue haciendo estragos en varios sitios web del mundo, y esta vez la noticia tiene que ver con un troyano detectado en Estados Unidos llamado Coreflood. Según investigadores del FBI y del Departamento de Justicia de ese país (DOJ, por su sigla en inglés), el virus hacía parte de una botnet que llegó a secuestrar a cerca de 2,3 millones de computadores en los últimos 10 años.

Según Reuters, la botnet,  que robó alrededor de 61 millones de dólares mediante fraude electrónico y el uso de información bancaria, habría sido creada por atacantes rusos que vulneraron, en su mayoría, dispositivos estadounidenses. Sin embargo, aseguran que las pérdidas son millonarias en otras partes del mundo.

Mediante un comunicado conocido por la misma agencia, David Fein, abogado estadounidense, aclaró: “Con la confiscación de Coreflood y los nombres de dominio de Internet se espera evitar que los delincuentes sigan utilizando Coreflood o la información de ordenadores infectados por el troyano para propósitos nefastos”.

Sumado a esto, el DOJ aseguró que 13 ciudadanos extranjeros han sido citados por una denuncia relacionada con fraude electrónico, que estaría vinculado con redes de bots y en los próximos días serían arrestados y judicializados.

Representantes del gobierno de Estados Unidos explicaron a Businessweek que la red de PCs zombi se constituye en una de las más grandes y por eso ha obligado a las autoridades a tomar medidas, nunca antes tomadas, en contra de los delincuentes cibernéticos.

En el ataque, según el FBI, el troyano explota una vulnerabilidad en los equipos que funcionan con base en los sistemas operativos Windows y se constituye en la segunda botnet de mayor impacto este año, luego de la denominada Rustock. Las autoridades resaltaron que la amenaza informática logró que los computadores contagiados fueran controlados de forma remota y utilizados para el robo de información bancaria y por ende para actividades relacionadas con fraude electrónico.

El ataque informático que desde la semana pasada amenaza a miles de sitios web en el mundo todavía sigue haciendo de las suyas en la Red. Websense, la firma de seguridad que alertó sobre el impacto que ha tenido en el mundo, reafirmó que la campaña de inyección masiva LizaMoon sigue activa y, como lo informó ENTER.CO, ya afecta a más de medio millón de direcciones web.

La firma reconoció que, por la forma como se inyecta LizaMoon en los sitios, el ataque es aún mayor de lo que se pensaba inicialmente.  Actualmente, si se realiza una búsqueda en Google con el código de LizaMoon, arroja más de 1.500.000 de resultados que tienen un enlace con la misma estructura de URL que el ataque inicial.

“Los resultados de búsqueda de Google no siempre son los mejores indicadores de cuánto se ha extendido un ataque ya que cuentan cada URL o página únicos no el sitio o el dominio pero sí puede indicar el ámbito del problema si se observa cómo crecen o disminuyen los números con el tiempo”, explico Websense en su blog oficial.

El laboratorio de análisis de la firma informó además que casi el 80% de los sitios maliciosos son legítimos que han sido infectados. “Infortunadamente, estos recientes ataques son más ejemplos de que esta ola continua”, dijo la firma.

“Si bien en un inicio el ataque tuvo 28,000 impactos ahora estamos viendo más URLs infectados lo que hace a LizaMoon una de las campañas de inyección masiva más grandes que hayamos visto. Hemos estado monitoreando el ataque desde que surgió y notamos que el número de URLs comprometidos sigue aumentando así como el de dominios, además, diferentes sitios  cargados han comenzado a involucrarse además del lizamoon.com original”, señaló Carl Leonard, investigador de Websense.

Según él, los sitios con carga permanecen inactivos actualmente aunque podrían ser ‘encendidos’ en cualquier momento. “Solo podemos especular en cuanto a lo que los ciberatacantes están esperando del mismo”, dijo.

Así las cosas, LizaMoon todavía sigue haciendo de las suyas alrededor del mundo y sigue siendo monitoreado por las firmas de seguridad alrededor del mundo.

La firma de seguridad Websense informó sobre un ataque en Internet denominado ‘LizaMoon’, que ha vulnerado la seguridad de alrededor de un millón de sitios web.

Con el ataque, cuando los usuarios entran a cualquiera de los sitios afectados, son llevados a otro sitio, denominado Centro de Estabilidad de Windows (Windows Stability Center), el cual resulta siendo una falsa herramienta de seguridad  (rogue) que lleva a los usuarios a instalar malware en sus equipos.

“Más de 500.000 direcciones tienen un script con un vínculo a ‘Lizamoon.com’, según una búsqueda en Google. También hemos podido identificar varias otras direcciones URL que se inyectan en la misma manera, por lo que el ataque es aún más grande de lo que se pensaba originalmente”, afirma Websense en su blog oficial. (En este momento, esta búsqueda en Google ya arroja más de 1,5 millones de resultados, aunque no necesariamente se trate de sitios afectados).

“Es muy difícil de decir cuántos sitios han sido afectados. La búsqueda en Google indica que es más de 1,5 millones de URL, pero ese número podría ser demasiado inflado. Lo que sí es seguro decir que está afectando a cientos de miles de personas”, aseguró la firma.

Según la firma, el primer caso confirmado que se conoce de esta amenaza se dio partir de diciembre de 2010, pero solo hizo la conexión con LizaMoon desde el martes pasado. Entre las características del ataque se encuentra que utiliza la inyección SQL, un método que aprovecha la vulnerabilidad informática para agregar secuencias de comandos malintencionados.

¿Por qué LizaMoon?

La firma explicó además algunas de las generalidades del ataque. Por ejemplo, fue bautizado como LizaMoon porque el primer dominio afectado fue Lizamoon.com, el 29 de marzo de 2011 (en este momento, si se quiere ingresar a este sitio, navegadores como Google Chrome o Rockmelt presentarán una alerta de . Sin embargo, la compañía afirma que existen al menos otros 20 dominios relacionados con este ataque, como Tadygus.com, Google-stats49.com y Milapop.com.

Aunque ENTER.CO dudó mucho frente a si dar crédito o no al ataque, pues justo hoy  en Estados Unidos se celebra el día de los inocentes (April’s fool), y ya se han publicado numerosas noticias falsas que eran bromas de los medios o de empresas, en este caso las pruebas parecen se reales.

Estos son otros de los ataques y peligros más famosos de Internet:

• Hackean la página del fundador de Facebook.
• Peligro en Facebook: alertan por nuevas aplicaciones maliciosas.
• Estos son los gusanos más peligros de Internet.
• Falso positivo: Samsung no instala malware en sus portátiles.

En el siguiente video se detalla la forma en la que se gesta el ataque cuando un usuario visita un sitio que está infectado por LizaMoon:

(Si no domina el inglés, haga clic en el botón del triángulo, en la parte inferior del video, luego seleccione ‘Activar subtítulos’, ubique el cursor sobre el triángulo –flecha–, ‘Transcribir audio’. Así, podrá leer los subtítulos en inglés. Si tampoco entiende el inglés escrito, vuelva a poner el cursor sobre el segundo triángulo, haga clic en ‘Traducir subtítulos’ y finalmente, escoja la opción ‘Español’ y haga clic en el botón ‘Traducir’. Así, verá el video subtitulado con el servicio experimental de transcripción y traducción de YouTube, que puede presentar algunas incoherencias).