Los dominios .edu son capaces de transmitir peticiones maliciosas a miles de usuarios por segundo, por eso son tan solicitados por los hackers. Bitdefender, alerta de que un servidor del Massachusetts Institute of Technology (CSH-2.MIT.EDU) alberga un script malicioso utilizado activamente por los ciberdelincuentes para localizar sitios web vulnerables. Actualmente se desconoce cómo llegó el robot rastreador hasta el servidor del MIT, pero lo cierto es que rastrea la web en busca de las cuentas de hosting que vienen con una versión vulnerable de phpMyAdmin, la popular interfaz de base de datos para servidores MySQL.

“PHPMyAdmin es utilizado por los desarrolladores web y los administradores del sitio para conectar y llevar a cabo operaciones específicas de SQL a través de Internet, tales como crear, leer, actualizar y eliminar la información de la base de datos. Nuestra información muestra que las versiones vulnerables de PHPMyAdmin van de 2.5.6 a 2.8.2”, explica Jocelyn Otero Ovalle, directora de Marketing de Bitdefender España.

Cuando el rastreador alojado en el MIT encuentra una versión vulnerable de PHPMyAdmin, trata de obtener privilegios administrativos para inyectar una consulta SQL en la base de datos. Si el sitio web ha sido alcanzado con éxito, el rastreador deja tras de sí una carpeta llamada «muieblackcat», un mutex que actúa como un signo de infección. Este no es el único daño al servidor atacado, dependiendo de la solidez del servidor atacado, la multitud de peticiones GET por segundo podría paralizarlo.

Como un dominio de nivel seguro, .edu es utilizado principalmente por instituciones educativas en Estados Unidos y otras organizaciones de confianza. Un trackback desde este dominio es un voto de confianza para un artículo, un blog, toda una web, e incluso de una institución. En resumen, un sitio del tamaño de MIT.edu no es sólo garantía de un ancho de banda suficiente para transmitir miles de peticiones maliciosas por segundo, sino que es también una buena manera de evadir los firewalls que, obviamente, aceptan tráfico de MIT.edu como legítimo.

Esto explica el interés de los ladrones por reorientar los ataques a sitios registrados con este dominio u otros de confianza para que participen, por ejemplo, en la promoción de mercancía ilegal o de dudoso contenido.

Más actualidad sobre seguridad informática en el Facebook de BitDefender, en su Twitter y en su nuevo blog en español Malware City