Nueva variante del Gusano Facebook aprovecha multiples servicios en la nube
Las redes sociales son especialmente interesantes para los autores de malware, ya que se pueden aprovechar para propagar una infección a partir de una sola persona.
El Paciente Cero, puede transmitir la pieza de malware a todos sus contactos que a su vez hacen lo mismo, convirtiéndose rápidamente en viral y afecta a cientos de miles de personas.
Nos encontramos con un gusano que pensamos pertenece a la Kilim familia y cuyo objetivo es comprometer un usuario y la propagación a través de Facebook.
El atractivo es la promesa de material pornográfico que se presenta como lo que parece ser un archivo de vídeo llamado Videos_New.mp4_2942281629029.exe , que en realidad es un programa malicioso.
Una vez infectada, la víctima el gusano se propaga a todos sus contactos y grupos que pertenece, al publicar el siguiente mensaje:
Fotos sexuales de las adolescentes en la escuela - Nuevo escándalo WHL2R http://ow.ly/{removed} como · · Compartir
Los chicos malos han construido una arquitectura de redirección de múltiples capas que utiliza el acortador de URL ow.ly, Amazon Web Services y almacenamiento en la nube Box.com.
Detalles técnicos
La siguiente es la secuencia de eventos que ocurren cuando un usuario hace clic para descargar los "fotos sexuales de las adolescentes".
- Ow.ly acortado URL, redirige a otra URL ow.ly
- Segundo URL ow.ly redirige a una página de Amazon Web Services (AWS)
- Página AWS redirecciona a un sitio malicioso (videomasars.healthcare)
- El sitio malicioso comprueba el ordenador del usuario y, o bien redirigir a los anuncios para dispositivos móviles o sigue un enlace a Box.com
- El usuario recibe un mensaje para descargar un archivo (troyano) de Box.com
- Si el usuario ejecuta el archivo, su máquina está infectada y componentes adicionales se descargan (Gusano)
- El ordenador del usuario es ahora un bot y se propaga el enlace ow.ly originales a sus contactos / grupos en Facebook.
hxxp: //ow.ly/3xqSAV
hxxp: //ow.ly//smfSmZ6wDeNiyu6/JGghu
hxxp: //s3.amazonaws.com: 443
hxxps: //s3.amazonaws.com/d6r17y4h6t51h32/yonver.html
hxxp: //videomasars.healthcare/imv.html
hxxps:? //app.box.com/index.php rm = box_download_shared_file {eliminado}
hxxps: //dl.boxcloud.com/bc/4/cC4YEYxqlhjwi2M1c8buRCz17g {retira}
hxxp: //www.porschealacam.com/bg.js
hxxp: //www.porschealacam.com/manifest.json
hxxp: //www.porschealacam.com/ff.zip
hxxp: //www.porschealacam.com/update.zip
hxxp: //www.porschealacam.com/btc/son.exe
Se identificaron tres dominios implicados en el mecanismo de configuración y actualización para el gusano:
- videomasars.healthcare | Enom, whoisguard Protegida, Panamá | 91.121.114.211 | PVH AS16276 OVH
- porschealacam.com | Enom, whoisguard Protegida, Panamá | 91.121.114.211 | PVH AS16276 OVH
- hahahahaa.com | Enom, whoisguard Protegida, Panamá | AS13335 CLOUDFLARENET
El primer dominio ( videomasars.healthcare ) filtra las posibles víctimas mediante la identificación de agente de usuario que su navegador está mostrando en posiblemente la más completa - pero no necesariamente eficiente - forma en que hemos visto:
Los usuarios móviles son redirecciones hacia páginas de afiliados de diferentes ofertas:
hxxp:? //mobileaff.mobi/ affid = 22909
Los usuarios de escritorio consiguen una carga diferente que es un enlace elegido al azar a partir de un conjunto predefinido:
Este es un archivo malicioso (troyano) alojada en la popular caja de almacenamiento en la nube. Malwarebytes Anti-Malware detecta como (VirusTotal Trojan.Agent.ED enlace ).
Este binario es responsable de descargar los recursos adicionales (el componente gusano) de otro recurso (porschealacam.com ).
Aquí nos encontramos con una extensión de Chrome malicioso (VirusTotal enlace ) y los binarios adicionales (scvhost.exe y son.exe ).
Código adicional es recuperar la pieza de malware (tal vez en caso de que el usuario no tiene el navegador Chrome) de un tercer sitio, hahahahaa.com , para difundir el gusano a través de Facebook:
Como se mencionó anteriormente, se inyecta una extensión de Chrome pícaro pero eso no es todo. El malware también crea un acceso directo para Chrome que en realidad pone en marcha una aplicación maliciosa en el navegador directamente al sitio web de Facebook:
El parámetro "-load-y-lanzamiento-aplicación" llama a la aplicación pícaro ( página desarrollador Google ). Los archivos necesarios se manifiestan y otros se encuentran en la carpeta AppData, en un directorio llamado Mozila:
En este navegador "modificado", los atacantes tienen el control total para capturar toda la actividad del usuario, sino también para restringir ciertas características.
Por ejemplo, se ha desactivado la página de extensiones que una vez puede normalmente acceso escribiendo chrome: // extensions / , posiblemente en un intento de no dejar que el usuario desactivar o eliminar la extensión maliciosa.
Claramente, los ladrones detrás de este gusano de Facebook han hecho grandes esfuerzos para anonimizar sí mismos, sino también para ir alrededor de la protección del navegador mediante la creación de su propia versión de trampas explosivas.
Nos han informado de las distintas direcciones URL a sus respectivos propietarios y algunos ya se han apagado.Sin embargo, todavía instamos precaución antes de hacer clic en cualquier enlace que promete premios gratis o artículos sensacionalistas.
Una vez más los chicos malos están aprovechando la naturaleza humana y, aunque no sabemos cuántas personas cayeron por esta amenaza, podemos adivinar que es muy probable que afectó a un número significativo de usuarios de Facebook.
Fuente: MalwaresBytes