Muros de Facebook son blancos de los cibercriminales
Hace dos semanas, que escribí sobre el resurgimiento de las etiquetas estafas en Facebook. Lo que parecía ser un simple gusano en aquel momento, ahora se convirtió en inspiración para múltiples grupos de ciber-criminales. Este fin de semana los hackers adoptaron un enfoque más diversificado para llegar a los navegadores de las víctimas y causar estragos en sus muros de Facebook.
La estafa de hoy es mucho más compleja que lo que hemos descrito en el post anterior. Todo comienza con una imagen incitante que se disfraza de un video publicado en el muro de un usuario. Una vez más, el mensaje de la estafa también cuenta con hasta 20 amigos etiquetados, facilitando su propagación.
Si el usuario es bastante curioso y hace clic en el enlace, es llevado a una página externa mediante un servicio anónimo. La página de destino es un clon de Facebook que muestra un presunto Video de Youtube.
Una mirada en la fuente de la página muestra código de Java Script muy ofuscado (cifrado) que se encarga de identificar qué navegador y qué sistema operativo utiliza la víctima. Si navegan en la página desde un iPad o un dispositivo Android o iOS, ellos son redireccionados a una página que incorpora un video en Youtube. El sitio web en si no intenta causar ningún daño a estos dispositivos.
Sin embargo, a los usuarios de Windows o Mac OS X corriendo Chrome se les pedirá que descarguen una extensión maliciosa para el navegador que logró colarse en el sitio oficial de Google, la Chrome Store.
En el momento de escribir esto, más de 4.200 usuarios ya lo habían instalado. Hay tres extensiones que conocemos (uno de ellos se llama Koksty y se dirige específicamente a la red social rusa VKontakte). Todas estas extensiones de Chrome están todavía en línea. Les hemos informado a Google para que las desactive.
Los mismos addons o complementos son los que propagan la estafa a las víctimas. Puesto que residen en el navegador, estas extensiones pueden realizar cualquier acción en nombre del usuario, tales como leer y modificar los datos en los sitios web que el usuario acceda.
Esta extensión SmartVideo dispone de una página llamada background.js. Tiene una función JavaScript ofuscada que es parecida a esto:
Cuando son descifrado, el código señala a otro sitio web controlado por el atacante; el archivo sssssefv.js es cargado de este sitio web desde la página de quien realiza esta ola de estafas.
Curiosamente, el ejecutable para Facebook cuenta con múltiples comentarios en su código como "kur ti bon foto tjera e Kruger qysh ke, se qetash spo tbojn fotot", que puede entenderse que el grupo hacker responsable de esto es de origen albanés.
Esta secuencia de comandos del controlador se encarga de todo: crea los enlaces anónimos, recupera las fotos incitantes para ser utilizadas como cebo para el post en Facebook, crea URLs acortadas para cada nuevo usuario en Facebook , además de otras funciones. La infraestructura de estafa en Facebook está completamente automatizada.
Así que ya sabes cómo sucede todo. Recuerda, no hacer clic en cualquier cosa que parezca sospechosa, independientemente de lo chocante o incitante que parezca ser. Los hackers cuentan con la curiosidad como parte de la estafa. ¡Manténte a salvo!