En los últimos meses hemos alertado respecto a la utilización de diversas redes sociales para propagar malware: Hi5, Facebook, Twitter, Myspace y el caso del gusano Koobface, también en Facebook. Dada la tendencia, recientemente publicamos el artículo Utilizando redes sociales para propagar malware y un Video Educativo acerca de esta técnica de propagación de códigos maliciosos.

Linkedin, la red social para profesionales, también vio se afectada por la creación de falsos perfiles de usuario para propagar malware. Hemos detectado un crecimiento de dicha tendencia que consiste en crear un perfil público de un famoso con algún mensaje llamativo. Por lo general, se trata de famosas (y hermosas) mujeres supuestamente desnudas.

En el falso perfil hay tres enlaces que llevan a un mismo sitio con contenido malicioso. Si se observa el código fuente de la página destino, se detecta un script ofuscado:

El script, direcciona aleatoriamente al usuario a variados dominios. Según el caso son diferentes los sitios a donde es direccionado el usuario. Hasta el momento hemos detectado:

• Sitios con falsos videos y descarga de malware

A través de falsos codecs, en su mayoría los archivos se tratan de troyanos del tipo Downloader, que descargan posteriormente rogue y rootkits en el equipo infectado.

• Sitios de rogue.

Específicamente hemos observado el falso explorador de Windows, informando al usuario sobre falsas amenazas detectadas en el equipo y ofreciendo la descarga de un archivo malicioso.

También hemos descubierto enlaces a sitios con scripts maliciosos ofuscados y los enlaces están variando constantemente (por momentos cada pocos minutos) y en diversos perfiles.

Según la ocasión, el usuario corre el peligro de infectarse con variados códigos maliciosos. Algunas de las amenazas de mayor aparición, son detectadas por ESET NOD32 como Win32/Statik, JS/TrojanDownloader.Psyme y Win32/Rootkit.Podnuha. Sin embargo, al ser modificado frecuentemente, el malware detectado puede variar.

La cantidad de falsos perfiles creados y la variabilidad de los códigos maliciosos a la que se expone el usuario, hacen que sea importante considerar seriamente esta amenaza. Ya reportamos a la red social el abuso por parte de las decenas de perfiles que hemos detectado y muchos de ellos fueron dados de baja.

Lamentablemente, los perfiles públicos están indexados (y bien ubicados) en Google, aumentando el riesgo que un usuario llegue a estos sitios:

Una vez más, podemos observar la ya confirmada tendencia de utilizar las redes sociales para propagar malware. Con diferentes técnicas de Ingeniería Social, los atacantes encuentran en las redes espacios con gran cantidad de usuarios, dispuestos a hacer clic sin mucha precaución.

Sebastián

• Reporte de amenazas de abril
• Vuelve Koobface
• Perfiles falsos y spam en Facebook

Categorias: Alertas, Ingeniería Social, Malware
6 Comentarios »