"Increíbles videos" están siendo promocionados a través de diferentes redes sociales. Todos ellos muestran la actividad que está llevando a cabo Koobface, para seguir infectado usuarios y seguir construyendo una de las botnets más grande de la actualidad.
A continuación describo el proceso completo de infección y las posibilidades que tiene el usuario de evitar ser infectado. Si se desea más información detallada se puede leer nuestro artículo sobre infección en redes sociales.
1. Se propaga un mensaje a través de cualquier red social (en este caso Twitter), sobre un supuesto video o cualquier otro motivo atractivo para el usuario:
2. Si el usuario hace clic, se lo redirige automáticamente a otro sistema ya infectado previamente y que ya forma parte de la botnet creada:
3. En ese momento ESET NOD32 bloquea en forma proactiva cualquier conexión a servicios de este tipo, imposibilitando que el usuario se infecte:
4. En caso que el usuario no estuviera protegido, ingresaría a un sitio que simula ser Facebook y en el cual se necesita un supuesto plugin de Flash Player para ver el video:
5. Si el usuario acepta la descarga, es redirigido a un sitio de seguridad falso simulando la exploración del disco duro (rogue) y, automáticamente a través de la ejecución de distintos exploits, en un sistema vulnerable se descargará e ejecutará un archivo dañino (el ejecutable del gusano Koobface):
6. Además, si no fuera posible la explotación anterior, se simula la exploración del sistema y incita al usuario para que descargue un "sistema de "protección" (el mismo archivo de de Koobface anterior).
En este proceso el usuario cuenta con al menos ¡cinco! posibilidades de no infectarse:
- no creer en el supuesto video y no ingresar al sitio
- no creer que necesita un plugin para ver el video
- parchear su sistema operativo y sus aplicaciones
- no creer en la supuesta exploración del sistema
- no descargar ni ejecutar nada que no provenga de fuentes confiables
Aún así, la red de bots creada por Koobface sigue creciendo día tras día. ¿Aún quedan dudas de que se debe contar con herramientas de seguridad con capacidades de detección proactivas y que nos debemos educar?
Cristian
