Nos encontramos con bastantes perfiles con el mensaje que vemos a continuación en su muro:

En la imagen observamos un texto donde nos menciona que se trata “del vídeo más sexy de la historia” y se acompaña de una imagen sugerente, incitando al usuario a que pulse sobre la misma y se reproduzca el mencionado video. No obstante, en lugar de llevarnos al prometido vídeo, se nos llevaba a una aplicación de Facebook donde se nos indicaba que no teníamos nuestro reproductor multimedia actualizado y nos invitaba a descargar la última versión. Si aceptamos y descargamos el instalador desde ese enlace, lo único que conseguiremos será instalar una gran cantidad de adware (publicidad no deseada) en nuestro sistema.

El problema de este tipo de infecciones es que, una vez el usuario ha visto su sistema comprometido, sigue propagando la infección publicándola en su muro, de forma que sus contactos también la verán y podrán caer víctimas.

Ante este tipo de vector de ataque la mejor solución pasa por evitar caer en este tipo de enlaces, contar con una protección adecuada en nuestro sistema para evitar que se instalen aplicaciones con contenido malicioso y, si ya hemos sido víctimas del ataque, intentar cambiar nuestros datos de acceso a la red social para evitar casos de secuestro de nuestro perfil. Asimismo, también debemos eliminar la aplicación Winamp desde el apartado Configuración de las aplicaciones de Facebook

Josep Albors

Veamos a continuación como recibimos un mensaje sospechoso de uno de nuestros contactos usando el servicio de mensajería Google Talk:

El mensaje en inglés y el enlace a un sitio desconocido ya nos debería hacer sospechar de la finalidad maliciosa de ese enlace. A modo de prueba, decidimos pulsar sobre el enlace, abriéndose la ventana del navegador Internet Explorer. Cuando el navegador intenta acceder al sitio web, el antivirus nos avisa de que se está intentando acceder a un sitio inseguro y bloquea el acceso.

Con la finalidad de investigar un poco más acerca de este malware, decidimos acceder a este enlace usando una distribución GNU/Linux Ubuntu 9.10, con el navegador Firefox y el antivirus desactivado. Accedemos a una web donde se nos invita a descargar una barra de herramientas con supuestas funciones de personalización de nuestro perfil de la red social MySpace.

Al pulsar sobre el botón de descarga, aparece una nueva web que nos indica los pasos a seguir para descargar el fichero ejecutable. Estas instrucciones son comunes para los navegadores Internet Explorer y Firefox (sobre cualquier plataforma).

Decidimos probar con otro navegador para ver si se repiten los mismos pasos y usamos Konkeror. Observamos como la web detecta que no usamos Internet Explorer (curioso, ya que en el paso anterior usamos Firefox y no nos mostró esta alerta) y nos invita a descargar directamente el instalador de esta barra de herramientas para que lo ejecutemos en nuestro sistema.

En esta ocasión, decidimos activar el antivirus ESET NOD32 para GNU/Linux en fase beta que tenemos instalado en el sistema, y vemos como detecta la descarga de una aplicación potencialmente peligrosa identificada como Win32/Toolbar.MyWebSearch.K.

Esta barra de herramientas es conocida por ser uno de los Adware (publicidad no deseada) y, en alguna de sus variantes, Spyware (software espía) mas propagadas actualmente, por lo que desaconsejamos su instalación.

Sirva este ejemplo para demostrar que Windows Live Messenger no es el único sistema de mensajería instantánea usado para propagar malware ya que, tal y como ocurre con los sistemas operativos, si la mayoría de ataques de este tipo van dirigidos hacia él es por la gran cantidad de usuarios que lo usan.

Josep Albors.

Veamos un ejemplo con un correo recibido recientemente:

Como vemos, en ese email se nos invita a acceder a una web desde donde podremos enviar tarjetas de felicitación a nuestros seres queridos. Obviamente, el mensaje afirma que estos enlaces están libres de Spyware o Adware, probablemente para ganarse la confianza de aquellos usuarios que ya picaron en ocasiones anteriores. Si accedemos a la web, observaremos que esta tiene un diseño muy apropiado para el tipo de felicitaciones que intenta promocionar:

Si pulsamos en el botón indicado para descargarnos la aplicación, veremos como nos aparece una nueva web donde se nos explican las instrucciones de descarga e instalación del archivo. Seguidamente, aparecerá la ventana de descarga del navegador donde se nos invitará a guardar o ejecutar el fichero:

Al analizar este fichero con nuestro antivirus, esté nos detectara que se trata de una barra de herramientas que inundará de Adware (publicidad no deseada) nuestro sistema.

Aunque en este caso estemos hablando de adware y no de virus, troyanos, spyware y demás malware mas peligroso, es el método de infección el que nos debe mantener alerta. No cuesta nada sustituir el fichero que se descarga por uno mas dañino o automatizar aun mas el proceso aprovechando vulnerabilidades en el sistema, navegador o aplicaciones de terceros. Además, este año es más que probable que veamos este tipo de propagación de malware extenderse de forma masiva por las redes sociales en forma de aplicaciones con temática de San Valentín o enlaces proporcionados por nuestros contactos.

Ante este tipo de amenazas que intentan aprovecharse de eventos o fechas señaladas lo mejor es aplicar el sentido común y no confiar ciegamente en todo enlace o fichero que se nos proporcione,  aunque venga de remitentes de confianza. Teniendo eso en cuenta y disponiendo de una protección antivirus actualizada evitaremos tener mas de un disgusto a causa de este tipo de amenazas.

Josep Albors