BLOG

F5 SOC: Desactivación de scripts maliciosos en tiempo real

Miniatura de Lori MacVittie
Lori MacVittie
Publicado el 14 de diciembre de 2015

Es sólo parcialmente cierto que las personas son el eslabón más débil en la cadena de seguridad de la información. El eslabón verdaderamente más débil es el navegador.

objetivos

Esto se debe a que el navegador es una de esas aplicaciones a las que nadie presta mucha atención, probablemente porque, en la mayoría de los casos, los profesionales de seguridad de la información no tienen absolutamente ningún control sobre él. A los clientes se les puede persuadir (y a menudo se les persuade) o incluso amenazarlos con no brindar soporte a las aplicaciones en línea si no mantienen su navegador actualizado, pero ¿más allá de eso? Simplemente no hay manera de administrar los distintos componentes de un navegador que pueden (y de hecho lo hacen) llevar a una vulnerabilidad.

Pero puedes monitorearlo, al menos mientras su operador está interactuando con tu sitio. Es ese tipo de monitoreo el que recientemente ayudó al SOC F5 a detectar, y desactivar, un pequeño script malicioso.

El SOC F5, que apoya activamente nuestra oferta WebSafe , dedica gran parte de su tiempo a investigar una variedad de malware y scripts que amenazan a las instituciones financieras y sus clientes. Una de las maneras en que WebSafe protege tanto a clientes como a organizaciones es supervisando activamente (en tiempo real) cada aspecto de la conversación entre un cliente y una aplicación. Gracias a esta supervisión activa de las comunicaciones en tiempo real, es capaz de detectar y alertar a nuestros analistas de seguridad cuando algo parece sospechoso (juego de palabras intencionado). Lo cual hizo recientemente (el 10 de noviembre de 2015 a las 18:54 (UTC), si quiere ser preciso), cuando notó que un script que consideró malicioso se estaba inyectando en un navegador que interactuaba con una aplicación financiera.

La inyección de scripts en los navegadores (a menudo denominada MItB o ataques “ Man in the Browser ”) generalmente se logra mediante malware existente, como un troyano descargado e instalado gracias a un intento de phishing exitoso (sorprendentemente, el 45 % aún lo logra ) o a través de un complemento del navegador infectado.

Estos scripts maliciosos están bien diseñados y pueden engañar fácilmente a los usuarios para que proporcionen más información de la que realmente es necesaria, así como espiar las comunicaciones y robar credenciales, información de cuentas financieras y cualquier otra cosa que pueda ofrecerles los medios para luego cometer fraude con éxito. Y son difíciles de detectar, a menos que estés monitoreando activamente el navegador de una manera que no pueda ser fácilmente eludida por el secuaz del atacante, el malware.

Esa es una de las ventajas de una solución como WebSafe, ya que puede monitorear la actividad en tiempo real sin necesidad de agentes eventualmente identificables o complementos del navegador. Y eso es lo que llevó al descubrimiento y posterior cierre en cuestión de horas de este último ataque inyectado con script.

Puede obtener más información sobre WebSafe aquí y profundizar en los detalles técnicos de este script malicioso en este informe del F5 SOC .

¡Manténgase a salvo ahí afuera!