Una nueva campaña de propagación de publicidad es distribuida a través de la red social Facebook. Cada vez es más frecuente la aparición de este tipo de amenazas sobre esta plataforma social, ya que se encuentra en un constante crecimiento que suele ser tentador para los criminales informáticos. En esta nueva ocasión, les presentamos un caso que lleva un par de días en funcionamiento y el especial por la manera de distribución que tiene.

La propagación comienza con un mensaje de algún contacto a través del Chat de Facebook. En el mensaje se sugiere la instalación de “FacePlus!”:

Una vez que el usuario realiza clic en el enlace, se lo envía a un grupo "Me gusta" de Facebook. En una de las pestañas se encuentra oculto un código iframe, que redirecciona automáticamente a la persona a otro sitio web fuera de la red social: Si se analiza el código fuente se puede ver una dirección URL del servicio Bitly. Este servicio provee estadísticas de clic realizado a esa URL, se puede ver que en un total de 3 días, se realizaron más de 1.4 millón de accesos a esta dirección:

Una vez que el usuario se encuentra en la página de “FacePlus!” se lo invita a instalar un complemento en el navegador Google Chrome. En la confirmación de la instalación del plugins, se informa al usuario que este complemento puede acceder a todos los datos de sitios web del usuario. Acceder a dar este tipo de permisos a un plugins desconocido, supone un gran riesgo y tal como informa en la base de ayuda de Chrome, este puede utilizar las credenciales (cookies) para obtener y modificar los datos proporcionados en todos los sitios web.

Una vez que este plugins está instalado en el navegador, y la victima quiere ingresar a su cuenta de Facebook, le aparecerá un cartel indicando un paso final:

Es en este punto donde resulta ser bastante molesta la situación, ya que se lleva a la victima a una página de suscripción de mensajes SMS (ya antes vista en el famoso botón no me gusta). El cartel va a seguir apareciendo cada vez que se ingresa a la cuenta de Facebook. También se puede observar que automáticamente publica en los muros de los contactos o en Chat de la víctima, el mismo mensaje sugiriendo la instalación “FacePlus!”:

Nos encontramos ante una nueva amenaza que juega con el desconocimiento de los usuarios. Es por eso que estos tienen que mantenerse informados sobre estos engaños y contar con buenas prácticas a la hora de navegar, ya que este tipo de estafas se puede evitar rápidamente.

Actualización 06/12:09hs.: Pasos para desinstalar este plugins malicioso en Google Chrome:

1. Dirigirse al botón de Herramientas del navegador.
2. Seleccionar nuevamente Herramientas>Extensiones.
3. Selecciona la extensión de Face-Plus y hacer clic en Desinstalar.
4. Reinicia el navegador y Listo!

Claudio Cortés Cid
Especialista de Awareness & Research

Accedé a la página de ESET Latinoamérica en Facebook