El abanico de amenazas y técnicas utilizadas por los desarrolladores de malware es muy amplio, incluso en determinadas ocasiones pueden valerse de más de una de éstas para propagar sus códigos maliciosos. Es común encontrarse con el uso de Ingeniería Social, explotación de vulnerabilidades de los navegadores y mucho más pero, ¿qué pasa cuando se combinan varias técnicas en un único ataque? Eso es lo que vamos  a mostrarles en este post: una amenaza que se propaga a través de Facebook y cuenta con varias etapas que serán presentadas individualmente.

Se trata, básicamente, de un ataque multi-stage propagándose por la popular red social. Este caso resulta muy interesante, ya que permite observar cómo es que un atacante busca mediante diversas técnicas recopilar datos de la víctima e infectar el equipo con la finalidad de propagar su código malicioso. Veamos...

Amenaza #1 - Enlace malicioso

Esta amenaza comienza a propagarse con el viejo y muy utilizado mensaje "¿Es una foto tuya?" seguido por un enlace el cual resulta ser malicioso que llega a la bandeja de entrada del usuario. Este mensaje proviene de un contacto del usuario que ya ha sido infectado:

Mensaje Malicioso Facebook

Como se puede ver en la captura anterior, se ha utilizado un acortador de URL. Sin embargo, al hacer clic derecho sobre el enlace se puede ver la dirección completa a la que el usuario es redireccionado, por fuera de facebook.

Amenaza #2 - Robo de credenciales de Facebook

Una vez que el usuario sigue el enlace malicioso es redirigido a una página falsa, en la que se solicitan nuevamente las credenciales de inicio de sesión para Facebook. Como en todo ataque que cuenta con Ingeniería Social, el look & feel de la página es similar al de la red social, pero sin embargo sería fácil para un usuario darse cuenta de la veracidad con solo unos pocos detalles:

Robo de credenciales de Facebook

Observando la dirección del enlace es fácil reconocer que se trata de un ataque de phishing, ya que el logo de la página es igual a la original, y solo se busca el robo de las credenciales del usuario, para que seguramente luego sean utilizadas para la propagación de códigos maliciosos.

Amenaza #3 - Código malicioso

Sin importar qué datos de inicio de sesión ponga, el usuario es redireccionado a una tercera página web en la que se encuentra la amenaza. La página no tiene nada que ver con Facebook, no tienen un aspecto similar ni nada que se le parezca, y presenta la posibilidad de descargar un archivo de nombre photo.exe, que es el código malicioso en sí. El mismo es detectado por ESET NOD32 Antivirus como Win32/Kryptik.KBI troyano. Sin embargo, todavía quedan ciertas amenazas escondidas, y las mismas se encuentran en el sitio web, y utilizan vulnerabilidades de Internet Explorer para exponer aún más amenazas al usuario.

Amenaza #4 - Explotación vulnerabilidad de Internet Explorer

Haciendo uso de la vulnerabilidad CVE-2010-1885 del navegador de Microsoft, en la misma página donde se puede descargar el malware, se fuerza la ejecución de un código malicioso que inicia una ventana de comando (cmd.exe) y ejecuta la descarga de un código malicioso. De esta manera el usuario observará que se inicia la ventana de ayuda de Windows. Es importante en estos casos remarcar la necesidad de mantener el sistema operativo y las aplicaciones correctamente actualizadas.

Amenaza #5 - Código malicioso ofuscado en la página

El exploit de la vulnerabilidad de Internet Explorer se encuentra dentro del código de la página, y el mismo llama la atención si se analiza el código fuente. Al ver el código y las funciones que utiliza vemos que hace uso de una función periódica (que esta ofuscada) que es la que ejecuta el mensaje para la descarga de la actualización de reproductor de Flash. La cual finaliza en el archivo update.exe y es otro código malicioso. En la siguiente captura se ve en conjunto las últimas tres amenazas:

Para finalizar, estamos hablando de una amenaza muy elaborada y que intenta hacer uso de tantas herramientas como sea posible con una sola finalidad: infectar el equipo del usuario. Es por ello que es recomendable, además de contar con una solución antivirus, seguir las buenas prácticas para la navegación. Es así como el usuario puede mantenerse alejado de estas amenazas e incluso colaborar con la comunidad reportando casos como este. De esta manera, tales sitios maliciosos son dados de baja par que no puedan seguir afectando a los usuarios. La seguridad en la web se construye entre todos.

Pablo Ramos
Especialista de Awareness & Research