Usuarios de Facebook infectados por nueva campaña de Koobface

Publicado hace 8 años por en ESET Noticias Seguridad Seguridad Informática

Un nueva campaña de infección masiva se esta llevando acabo través de la popular red social Facebook. Se trata del conocido gusano Koobface que esta vez busca atraer a sus victimas por medio de enlaces con  mensajes relacionados a supuestas cámaras ocultas con contenido erótico.  Así lo ha reportado el Laboratorio de ESET Latinoamérica en su blog.

Koobface es un Gusano informático que ataca a usuarios de las redes sociales Facebook, MySpace, hi5, Bebo, Friendster y Twitter. Koobface últimamente intenta, luego de una infección exitosa, obtener información sensible de las víctimas, como números de tarjetas de crédito. En el caso particular de facebook una de las técnicas utilizadas por este gusano para facilitar su propagación, es enviando mensajes a las personas que son “amigos” de la persona cuyo computador ha sido infectado.

En el caso particular que se ha venido presentando en las ultimas horas, los ciberdelincuentes envían un mensaje que llega a cada contacto del usuario infectado, con un enlace hacia sitios web cuyo título es “Video posted by… Hidden Camera”. Desde este sitio el usuario debe descargar un supuesto codec para visualizar el video:

Evidentemente, no se trata de ningún codec sino del archivo ejecutable del gusano Kooface. Si el usuario lo descarga y ejecuta, se infectará. En la siguiente captura se muestra la detección de ESET Smart Security, al intentar descargar dicho archivo:

Todos los dominios involucrados tiene el formato http://[dirección IP]:[puerto]/números_y_letras_aleatorias/. En la captura de pantalla puede verse una de estas direcciones: http://[ELIMINADO].169.144.218:167/62f469a63f1a/.

Cristian Borghello, Director de Educación de ESET para latinoamérica, en una entrada de blog comenta:

Lo curioso de este caso en particular es que el sitio al que se ingresa sólo funciona la primera vez que se ingresa al mismo y luego se informa de un supuesto error 404 (no se encontró la página). Los atacantes hacen esto para dificultar el trabajo de los investigadores y evitar que se analicen las distintas versiones del malware.

En este momento nuestro Laboratorio ha encontrado y analizado más de 100 direcciones IP (usuarios ya infectados) responsables de la propagación de este malware por lo que es muy importante prevenirse, no creer cualquier tipo de mensaje en las redes sociales (evitar ataques de ingeniería social) y utilizar el antivirus actualizado.

A parte de la descarga del ejecutable en cuestión, se han detectado algunas nuevas variantes que poseen además un ataque del tipo rogue para descargar nuevos ejecutables al alertar al usuario sobre falsas amenazas en el sistema.

Hemos detectado al momento variantes de Win32/Adware.Antivirus2009.AA y Win32/Adware.SafetyAntiSpyware.A , agrega Borghello.

También desde el Laboratorio de ESET, reportan que recientemente se han identificado  nuevas variantes que poseen componentes del tipo Downloader, por lo que luego de la infección son descargadas y puestas en ejecución, según el caso, distintas variantes de otros códigos maliciosos como los troyanos Win32/TrojanProxy.Small.NEB, Win32/PSW.Delf.NSE,  Win32/Qhost.NTN, Win32/Agent.QWU; y los gusanos una variante de Win32/Koobface.NCI y una variante de Win32/Koobface.NCP.

Así que a estar muy atentos a lo que acontece en nuestros perfiles en facebook, al tiempo de proteger nuestros equipos con soluciones de protección proactiva contra todo tipo de amenazas de internet como ESET NOD 32 y ESET Smart Security

Referencia:

Laboratorio ESET para Latinoamérica.

Imágenes: ESET