El dominio del malware Gumblar sigue activo

Las páginas web y ordenadores que sigan infectados con el viejo malware podrían verse amenazados con un malware actualizado que recibe instrucciones.

Investigadores de ScanSafe están observando cómo se ha renovado la actividad alrededor de Gumblar, un malware multifuncional que se extiende atacando ordenadores que visitan páginas web hackeadas. Gumblar puede robar credenciales FTP y falsificar las búsquedas de Google, reemplazando los resultados en ordenadores infectados con enlaces a otros sites maliciosos. Cuando se descubrió a Gumblar en marzo, buscaba instrucciones en un servidor en gumblar.cn, un dominio que estuvo inactivo durante un tiempo pero que se ha reactivado en los últimas 24 horas.

Los sitios web infectados con Gumblar contienen un iframe, que es la manera de llevar contenido de un sitio web a otro. A menudo los escritores de malware hacen que los iframes sean invisibles de forma que cuando una víctima visita una página web el iframe lanzará una serie de acciones desde un ordenador remoto que permitan hackear la máquina del visitante. Gumblar comprueba si el ordenador de la víctima está ejecutando versiones sin parchear de los programas Adobe Reader y Acrobat. Si es así, la máquina se verá comprometida.

Los registradores de nombres de dominio suelen suspender aquellos dominios que se han estado utilizando para fines maliciosos, lo que lleva a los escritores de malware a cambiar frecuentemente los dominios que sus creaciones buscan para recibir instrucciones. Por alguna razón que por el momento los investigadores no se explican, el dominio gumblar.cn se ha vuelto a lanzar y está activo.