Así las cosas, el descubrimiento de vulnerabilidades o fallos en el diseño de aplicaciones como Twitter o Facebook tiene un gran valor, puesto que la gran cantidad de usuarios que usan estas aplicaciones las hacen ideales para propagar malware y obtener un buen número de víctimas. Una de estas vulnerabilidades fue descubierta y notificada el pasado 29 de Julio pero aun no se ha implementado una solución que la corrija, pudiéndose realizar ataques que se aprovechen de la misma, tal y como ha demostrado el investigador Mike Bailey generando una prueba de concepto.

Según ha demostrado Bailey, un usuario con sesión iniciada en Twitter puede ser forzado a publicar un mensaje malicioso cuando se visita una web preparada especialmente para aprovechar esta vulnerabilidad. En esta prueba de concepto se aprovecha la vulnerabilidad para secuestrar la cookie de inicio de sesión de la víctima y esta se usa para publicar un tweet en beneficio propio, pero también se podrían realizar otras acciones maliciosas. Es importante destacar que, aunque en la prueba de concepto preparada por Bailey es necesario pulsar un botón, en realidad no se requiere pulsar sobre ningún enlace ya que el ataque se puede realizar de forma transparente para el usuario.

Un ejemplo de aprovechamiento de esta vulnerabilidad por parte de los creadores de malware sería la aparición de un gusano que se propagase de forma masiva entre los usuarios de Twitter, donde todos los usuarios infectados publicasen un tweet con un enlace a una web maliciosa preparada para aprovecharse de esta vulnerabilidad. De esta forma, el número de usuarios afectados crecería exponencialmente y se podrían propagar todo tipo de códigos maliciosos desde esa web modificada.

Desde el laboratorio de ESET en Ontinet.com recomendamos ser cautos a la hora de pulsar sobre enlaces desconocidos proporcionados a través de Twitter o cualquier otro canal. Especialmente peligrosos son los enlaces acortados porque nunca sabemos a donde nos llevan hasta que ya estamos en la web destino. Por eso, es aconsejable utilizar servicios de alargamiento de url para conocer, al menos, el dominio donde se ubica la web a visitar. De esta forma, y tras analizar detenidamente la dirección web a visitar, podremos descartar aquellas que nos resulten sospechosas.

Josep Albors

Desde la propia página de TweetDeck, al darse cuenta de ello, publicaron un nuevo artículo, en la zona de soporte, en la cual informaban sobre este hecho, indicando que dicha actualización era falsa y contenía malware, además indicaban a los usuarios que las actualizaciones de TweetDeck solo están disponibles en TweetDeck.com.

El anuncio de esta falsa actualización provenía de la página proveedora de enlaces cortos: http://alturl.com en el que se descargaba un archivo con el siguiente nombre: TweetDeck-08302010-update.exe.

También informaban que las falsas actualizaciones mostraban los siguientes textos:

• TweetDeck will work until tomorrow, udate now!
• Download TweetDeck udate ASAP!
• Update TweetDeck!
• Hurry up for TweetDeck update!
• Sorry for offtopic, but it is a critical TweetDeck update. It won’t work tomorrow!

Desde el departamento técnico de ESET en Ontinet.com, aconsejamos a los usuarios que utilicen la herramienta TweetDeck, hacer caso omiso si reciben un mensaje o tweet avisando de una urgente actualización de la misma, y como con cualquier otro aviso de actualización, comprobar si la dirección del supuesto archivo de actualización es fiable. En el caso de tener cualquier duda, aconsejamos contactar directamente con los desarrolladores de la aplicación para que nos indiquen si la actualización recibida es fiable o no.

David Sánchez

La filtración de los datos personales de más de 100 millones de usuarios únicos no se produjo por ningún hacker experimentado que accediera ilegalmente a los servidores de Facebook para robar la información. La realidad fue mucho más simple, siendo Ron Bowes (investigador de la empresa Skull Security) el artífice de esta hazaña, con la única ayuda de una aplicación que rastreó todos los perfiles con información pública en Facebook y los recopiló en un archivo. Posteriormente, este investigador puso a disposición de quien quisiera descargarlo un archivo torrent de 2.79 GB con toda la información recopilada. Ni siquiera hizo algo mínimamente ilegal. Tan solo automatizó un proceso que cualquiera puede realizar visitando el perfil de los usuarios. Así pues, si hay algún responsable de que estos datos hayan sido expuestos a miradas indiscretas no es este investigador, ni siquiera Facebook, si no los propios usuarios al poner a disposición de todo aquel que lo desee información privada que debería haberse ocultado usando la configuración de privacidad de la red social o, simplemente, no poniéndola.

El otro incidente afectó a las palabras usadas en la versión en español que por defecto establece Facebook para definir un estado como “Me gusta” o “Hoy es el cumpleaños de”. Muchas de estas palabras y frases fueron sustituidas por otras menos apropiadas o en idioma turco, lo que puede ser una señal de la procedencia de los usuarios que protagonizaron este incidente. Esta suplantación de palabras tampoco se realizó atacando a ningún servidor de Facebook utilizando técnicas de “hacking”. Tan solo se utilizó la característica según la cual se cambia la traducción usada por otra si esta es sugerida por una cierta cantidad de personas. Así pues, tan solo fue necesario que cierta cantidad de usuarios se pusiera de acuerdo para proponer la misma traducción y Facebook la cambiaba de forma automática.

En resumen, dos incidentes en Facebook con una repercusión mediática bastante elevada pero que nada tienen que ver con ataques que usan técnicas de penetración ilegales o códigos maliciosos. Tan solo la recopilación automatizada de información pública y el aprovechamiento de una característica automatizada de la red social.

Desde el laboratorio de ESET en Ontinet.com recomendamos a los usuarios de Facebook que, antes de publicar información sensible en su perfil, piensen primero si realmente es necesario y si tienen los ajustes de privacidad correctamente establecidos.

Josep Albors

Con este volumen de tweets es normal que los creadores de malware piensen en utilizar este servicio de microbloggin para propagar malware, como ya hemos visto sobretodo con tweets referentes al Mundial de Futbol 2010 en Sudáfrica. Ello ocurre con la mayoría de nuevos eventos y noticias, por ejemplo con la salida del IPad de Apple al mercado. Durante esta semana estamos recibiendo multitud de tweets con un mensaje claro, “Consigue tu IPAD GRATIS”.

También hemos comprobado tweets de este tipo haciendo referencia a aplicaciones y fondos para iPhone. Una vez accedemos a los enlaces mostrados, vemos el siguiente texto:

Y nos redirige a otra dirección totalmente distinta a lo que ofrecía el tweet. En este caso podemos ver dos páginas distintas, una donde se ofrece una aplicación para poder descargar emoticonos para programas de mensajería instantánea, blogs y demás, y otro enlace en el cual nos piden el número de móvil para descargar tonos mp3.

Desde el departamento técnico de ESET en Ontinet.com aconsejamos hacer caso omiso a este tipo de tweets. Sólo páginas especializadas en este tipo de dispositivos o compañías conocidas, realizando algún tipo de promoción, pueden enviarnos tweets reales sobre concursos o sorteos para regalar un iPad. El resto de enlaces de este tipo son fraudulentos y fáciles de distinguir, un mensaje claro y escueto, un enlace corto que no muestra a donde nos redirige y un usuario desconocido son las características de este tipo de tweets. Aunque actualmente estos enlaces no son peligrosos, puede ser una prueba realizada por los creadores de malware para en breve propagar malware utilizando este método, aprovechándose de la ingeniería social.

David Sánchez

Muchos de los afectados son ciudadanos israelíes por lo que, de ser cierto que este ataque procede desde Turquía, podría ser una represalia virtual al bloqueo de Gaza y a los ataques del ejército israelí a toda embarcación que desee romper ese bloqueo.

No obstante, ningún grupo se ha hecho aun responsable de esta acción ni la ha reivindicado. También hemos detectado cuentas de Twitter con el mismo mensaje creadas para la ocasión y que no contenían mensajes previos. Si bien la “venganza” contra usuarios hebreos tras el trágico incidente marítimo acontecido unas semanas tiene lógica, es bastante extraño que se generen cuentas nuevas con tan solo ese mensaje.

Aun hay poca información sobre este caso por lo que se puede especular sobre cualquier posibilidad, desde que el incidente no pasé de este punto a que se usen las cuentas hackeadas para otros fines (envío de enlaces maliciosos a los seguidores de las cuentas comprometidas, por ejemplo).

Lo que sí está claro es que lo usuarios afectados han visto sus cuentas de Twitter comprometidas tras haber caído en algún mensaje o enlace de phishing preparado para obtener sus credenciales de acceso. Por eso, desde el departamento técnico de ESET en Ontinet.com, recomendamos siempre introducir nuestras claves de acceso en los sitios oficiales y nunca en aquellos a los que hayamos accedido tras pulsar sobre un enlace.

Josep Albors

Desde el departamento técnico de ESET en Ontinet.com venimos detectando que, principalmente, este tipo de técnica es utilizada para infectar a los usuarios de juegos online, y últimamente con mayor insistencia, a aquellos con millones de usuarios de redes sociales.

Como ya hemos comentado se posicionan en los primeros lugares de las búsquedas que tengan que ver con trucos, guías, armas y otra serie de mejoras, dependiendo de la aplicación a la que hagan referencia. Además, en el texto del enlace prometen al usuario aumentar de nivel de forma instantánea, conseguir que a su personaje no se le acabe nunca el dinero o que nuestra granja sea la mejor de todas. Todo ello aprovechándose de usuarios que quieren mejorar de forma inmediata lo que otros tardarían días en conseguir.

Otra técnica que se está poniendo de moda consiste en desarrollar supuestas aplicaciones para hackear juegos de redes sociales con millones de usuarios como FarmVille o Mafia Wars, donde prometen diversas mejoras, encontrándote con que, para conseguir esa mejora, es necesario ejecutar una aplicación sospechosa o, como en el ejemplo que mostramos a continuación, copiar un código javascript o una dirección URL en nuestro navegador, descargando un software malicioso.

También puede ocurrir que, tal y como mostramos a continuación, aparezca una página de compra y, dependiendo de las mejoras que queramos aplicar y el juego, tendrá un coste u otro, sin ninguna garantía de que vayamos a conseguir lo que indica que estamos comprando.

Desde el departamento técnico de ESET en Ontinet.com, les recordamos que las prisas no son buenas consejeras, sobretodo para los usuarios de este tipo de aplicaciones online. Intentar conseguir algo por métodos no confiables puede provocar que nuestro equipo se infecte. Por ello avisamos a los usuarios de que no se fíen si encuentran páginas o aplicaciones como las que indicamos en esta entrada.

David Sánchez

Unos días más tarde, se intentó ejecutar a través de un pdf, adjunto a un correo de falsos currículums, aprovechándose de la característica presente en Adobe Reader que permite abrir archivos adjuntos no PDF con aplicaciones externas.

En el día de hoy hemos confirmado que este malware es persistente e intenta engañar a toda costa a los usuarios para que lo instalen. Se trata de distintos ataques en un corto espacio de tiempo y siempre para instalar el mismo código malicioso. Durante las últimas horas, hemos recibido multitud de correos simulando venir del servicio de microblogging Twitter y de grupos de Youtube como el que vemos a continuación:

La web a la que somos dirigidos tras pulsar sobre los enlaces o la fotografía nos muestra una animación con el icono de Java que, durante un periodo de tiempo, simula estar procesando alguna imagen mientras que, en segundo plano, se nos instala el falso antivirus Protection Center. Tras finalizar la instalación del falso antivirus, se nos muestra un mensaje de error en la instalación del software Java. Al mismo tiempo, se nos habrá abierto una ventana de una farmacia online (suponemos que para maximizar los beneficios del ataque).

Desde el departamento técnico de Ontinet.com, recomendamos hacer caso omiso de este tipo de correos masivos para no vernos afectados por este malware, además de tener instalado en nuestros sistemas una aplicación antivirus correctamente actualizada y en funcionamiento.

Josep Albors, David Sánchez.

En su página web, se pueden encontrar, además de los pasos para la instalación y uso de esta aplicación, otros aspectos importantes, como puede ser eliminar definitivamente la cuenta de Facebook.

Los pasos para la instalación de la herramienta son sencillos:

• Visitar la página de la aplicación Facebook PrivacyDefender

• Arrastre el botón gris de la barra de marcadores a la barra de herramientas de su navegador o también, haga clic con el botón derecho del ratón en ese botón y añádalo a Favoritos.




• Haga clic en el enlace PrivacyDefender, previamente añadido a la barra de herramientas, para evaluar su actual configuración de privacidad. Una vez nos registremos para acceder a Facebook, aparecerá la imagen mostrada a continuación. Usando esta aplicación podemos indicar fácilmente a qué tipo de personas podemos compartir los distintos elementos que componen Facebook



• Una vez elegido el nivel de seguridad deseado, haga clic en Fix My Privacy! para aplicar los cambios.

Vista la problemática y dificultad en la configuración de los distintos parámetros de configuración de la privacidad de Facebook, esta herramienta supone una mejora para personalizar la configuración deseada. Esperamos que desde Facebook tomen buena nota de este tipo de aplicaciones para ayudar al usuario a mejorar su privacidad fácilmente.

David Sánchez

Como en otras ocasiones, el diseño del correo podría pasar por uno auténtico enviado desde Twitter, pero si nos detenemos a analizar el enlace proporcionado observamos como nos dirige a un sitio web que nada tiene que ver con Twitter y que descarga un archivo ejecutable.

Lo curioso en este caso es que el archivo malicioso, detectado por ESET NOD32 Antivirus como una variante de Win32/Kryptic.ESX, solo se descargará si pulsamos sobre el enlace. Si optamos por copiar dicho enlace en nuestro navegador seremos redirigidos a la página principal de Twitter. No sabemos si ha sido un despiste de los creadores de esta campaña de propagación de malware o si se trata de una artimaña para generar más confianza en el usuario, dándole a elegir entre las dos opciones, pulsar sobre el enlace o copiarlo en su navegador.

Como hemos visto en los últimos meses, este tipo de ataques se están volviendo cada vez mas frecuentes, conforme este tipo de servicios y las redes sociales ganan popularidad, por lo que recomendamos estar alerta y confirmar siempre que los enlaces apuntan siempre donde deben antes de pulsar sobre ellos.

Actualización: Durante las últimas horas venimos observando como se han multiplicado el numero de correos parecidos al comentado en esta entrada. En los correos más recientes, no obstante, se avisa de que se ha intentado robar nuestra cuenta de Twitter y nos invita a descargar un módulo de seguridad para solucionar esta incidencia. El enlace proporcionado nos dirige a un grupo de Google desde el cual se nos ofrece otro enlace que descarga un fichero .zip. Este archivo contiene un código que ESET NOD32 detecta como una variante de Win32/Kryptic.ESD. Es muy probable que los creadores de este ataque hayan preferido modificar el mismo para hacerlo más agresivo y poder infectar a más usuarios por lo que recomendamos estar alerta ante este tipo de mensajes.

Josep Albors.

Esto va a ayudar a Facebook a preservar la integridad de su plataforma, asegurando que cada aplicación esté asociada a una cuenta de Facebook válida y real, evitando así, en la medida de lo posible, la propagación de aplicaciones maliciosas a través de su red. Obtendrán mas información al respecto en el siguiente enlace.

Esta decisión de Facebook, sobretodo, viene dada por los problemas encontrados hace unos días con falsas aplicaciones y supuestos vídeos subidos de tono, que podrían haber llegado a secuestrar los datos de acceso a esta red social de los usuarios infectados.

Desde el departamento técnico de Ontinet.com, pensamos que es un paso más para intentar erradicar la inserción de aplicaciones maliciosas, aunque insuficiente, ya que los creadores de malware pueden utilizar cualquier tipo de estratagema, como utilizar tarjetas de crédito robadas, para saltarse esta validación.

David Sánchez.