El Caballo de Troya Gumblar Resurge y Aprovecha las Fallas del Adobe Reader y del Acrobat
Investigadores de seguridad testifican el resurgimiento del Gumblar, pedazo de código maligno que se propaga a través de sitios Web legítimos pero inseguros ya que comprometidos.
En mayo de este año, se descubrió el Gumblar en miles de sitios Web legítimos pirateados que fueron inyectados con un código maligno para que mostraran un iframe que permitiera a los atacantes cambiar su contenido a otros sitios. El iframe llevaría al usuario de computadoras desprevenido al dominio gumblar(dot)cn (leer más sobre Gumblar(dot)cn) donde su sistema podría ser atacado a través de las fallas en las aplicaciones Adobe Systems.
A partir de mayo de este año, el Gumblar cambió su método de propagación por Internet. Ahora, inserta el código maligno directamente en el sitio Web comprometido en vez de acogerlo en un servidor remoto. Esto permite que los creadores del Gumblar se cuelen entre las grietas en caso de que el maligno dominio donde se alojan sea cerrado por un proveedor de servicios de Internet.
Estos criminales van hasta inyectar un iframe maligno en foros que inician un ataque ilegal, exponiendo al usuario al contenido nocivo en el instante en que visita un sitio legítimo comprometido. Cuando la PC está infectada, el Gumblar busca las credenciales FTP que los criminales utilizan para comprometer otros sitios Web.
Figure 1. Gráfica de la actividad de los PDF del Gumblar
En un tiempo se creyó que el Gumblar sería una de las peores amenazas en Internet debido a su capacidad de propagarse a través de sitios Web infectados y robar credenciales FTP de un sistema infectado. Investigadores de IBM creen que los ataques del Gumblar pueden estar relacionados con un fraude en el sistema "pago por clic", ya que se apropian del programa para navegar en el IE y sustituyen los resultados de búsqueda en Google con los de sitios Web comprometidos. La gráfica de la Figura 1 sobre la actividad del Gumblar y de los PDF malignos Figure 1, muestra un aumento en los ataques recientes, por ejemplo, los sistemas de seguridad en Internet de IBM lo han constatado en sus visitas mundialmente en archivos nocivos Adobe PDF. El surgimiento del Gumblar ocurrió, irónicamente, después de que Adobe lanzara un lote de seguridad actualizado en las versiones Adobe Reader 9.1.3, Acrobat 9.1.3 y anteriores. La falla está siendo activamente explotada por los delincuentes cibernéticos con archivos PDF nocivos.
Creemos que el Gumblar llegará a ser una de las amenazas más
agresivas en Internet. Si almacena credenciales de entrada FTP
en su equipo, debe salvaguardar esa información. Si su sistema sucumbe al ataque del Gumblar, podría poner en peligro al usuario que visite el sitio Web que usted ejecuta. Se recomienda a los usuarios de los programas Adobe Reader y Acrobat que actualicen sus programas a la versión 9.2.