Algo bueno acerca de tener muchos amigos en Facebook es que simplemente actúas como una Honeypot cuando tus amigos hacen clic en enlaces maliciosos. Hace unos días recibí un mensaje en Facebook de una persona con la que muy rara vez hablo, y sabía que algo sospechoso estaba sucediendo.

Después de unos pocos minutos analizando el mensaje, entendí que solo estaba mirando en la parte superior de este iceberg. Este malware se propagó a través de Facebook Messenger, sirviendo malware/adware de varias plataformas, utilizando toneladas de dominios para evitar el seguimiento y obtener clics. El código es avanzado y ofuscado.

Aquí hay una captura de pantalla del JavaScript, un inyector potencial. El nombre de archivo es "injection.js" (ebc117c0cf03ad4b13184d1253862586)

El mecanismo de propagación inicial parece ser Facebook Messenger, pero la forma en que realmente se propaga a través de Messenger aún se desconoce. Puede ser por medio de credenciales robadas, navegadores secuestrados o clickjacking. Por el momento no estamos seguros porque esta investigación todavía está en curso.

El mensaje utiliza la ingeniería social tradicional para engañar al usuario para hacer clic en el enlace. El mensaje dice "David Video" y luego un enlace bit.ly.

El enlace señala un documento de Google. El documento ya ha tomado una foto de la página de Facebook de la víctima y ha creado una página de destino dinámica que parece una película reproducible.

Cuando la víctima hace clic en la falsa película reproducible, el malware los redirige a un conjunto de sitios web que enumeran su navegador, sistema operativo y otra información vital. Dependiendo de su sistema operativo, se dirigen a otros sitios web.

Esta técnica no es nueva y tiene muchos nombres. Me gustaría describirlo como una cadena de dominio, básicamente solo un montón de sitios web en diferentes dominios que reorientan al usuario en función de algunas características. Puede ser su idioma, ubicación geográfica, información del navegador, sistema operativo, complementos instalados y cookies.

Al hacer esto, básicamente mueve el navegador a través de un conjunto de sitios web y, utilizando cookies de seguimiento, monitorea su actividad, muestra ciertos anuncios para usted e incluso, en algunos casos, ingeniería social para hacer clic en los enlaces.

Todos sabemos que hacer clic en vínculos desconocidos no es algo que se recomienda, pero a través de esta técnica te pueden obligar a hacerlo.

Lo que noté durante mi investigación fue que al cambiar el encabezado User-Agent (información del navegador), el malware lo redirige a diferentes páginas de destino. Por ejemplo, cuando se utiliza Firefox, me redireccionaron a un sitio web que mostraba un aviso de actualización de Flash falso y ofrecía un archivo ejecutable de Windows. El ejecutable está catalogado como adware.

Cuando utilizo el navegador de Google Chrome, fui redirigido a un sitio web que imita el diseño de YouTube, incluido el logotipo de YouTube. El sitio web muestra un mensaje de error falso engañando al usuario para que descargue una extensión maliciosa de Google Chrome de Google Web Store.

La extensión de Chrome es un Downloader, lo que significa que descarga un archivo en su computadora. En el momento de la ejecución, el archivo que debería haber sido descargado no estaba disponible.

Un hallazgo interesante es que la Extensión de Chrome tiene archivos de registro de los desarrolladores que muestran nombres de usuario. No está claro si esto está relacionado con la campaña, pero sigue siendo parte de la información.

Cuando utilizaba el navegador OSX Safari, terminé en un sitio web similar al que me habían dirigido cuando usaba Firefox, pero se personalizó para los usuarios de OSX. Era una actualización falsa para Flash Media Player, y cuando hice clic en el enlace se descargó un archivo .dmg ejecutable de OSX. Este archivo también era de tipo Adware.

Ha pasado tiempo desde que vi estas campañas publicitarias usando Facebook, y algo único es que también utilizan Google Docs, con páginas de destino personalizadas. Por lo que puedo ver que no se está descargando ningún malware (troyanos, exploits), pero la gente que está detrás de esto es probable que haga mucho dinero en los anuncios y tienen acceso a un montón de cuentas de Facebook.

¡Por favor asegúrese de que no haga clic en estos enlaces, y por favor, actualice su antivirus!

Artículos relacionados:

• MACRO MALWARE, CAMPAÑAS DE PROPAGACIÓN VIGENTES EN MÉXICO