Un nuevo ataque de malware ha afectado a cerca de 10.000 usuarios de Facebook especialmente de países como Brasil, Polonia, Perú, Colombia, México, Ecuador, Grecia, Portugal, Túnez, Venezuela, Alemania e Israel, donde los dispositivos de los usuarios engañados han sido infectados tras recibir un mensaje de un amigo pidiéndole que le mencione en la red social.
Según señala Kaspersky Lab, los dispositivos comprometidos han sido usados para secuestrar las cuentas de Facebook con la finalidad de propagar la infección a través de los contactos de los usuarios afectados así como para permitir otras actividades maliciosas.
Este ataque ha ocurrido entre el 24 y el 27 de junio, cuando miles de usuarios recibieron un mensaje de algún amigo en Facebook solicitándoles ser mencionados en un post. “La cadena fue iniciada por unos ciberdelincuentes y desató un ataque de dos etapas. La primera etapa descargaba e instalaba un troyano en el ordenador del usuario y una extensión del navegador Chrome malicioso, entre otras cosas. Esto permitió que en la segunda etapa, se tomara el control de la cuenta de Facebook de la víctima al iniciar sesión de nuevo a través del navegador comprometido.”
Si el ataque tenía éxito, se daba acceso a los ciberdelicuentes a cambiar la configuración de privacidad y extraer datos, posibilitando de esta forma la propagación de la infección a través de la red de amigos de Facebook de la víctima, además deotras actividades maliciosas como spam, robo de identidad y la generación fraudulenta ‘likes’ o ‘compartir’. Incluso este “malware trató de protegerse a sí mismo del acceso a las listas negras de cientos de sitios web, como las de los proveedores de software de seguridad.”
Así mismo, los usuarios con equipos basados en Windows para acceder a Facebook fueron los que mayor riesgo corrieron, mientras que los que utilizaban dispositivos móviles Android e iOS eran inmunes, toda vez “que el malware utiliza bibliotecas que no son compatibles con estos sistemas operativos móviles. El troyano utilizado por los atacantes no es nuevo. Se informó de él hace un año, cuando hizo uso de un proceso de infección similar. En ambos casos, los signos del lenguaje en el malware parecen apuntar a ciberdelincuentes de habla turca.”
Por su parte, Facebook ha logrado minimizar esta amenaza y bloquear las técnicas que utilizaron para propagar el citado malware de equipos afectados, mientras que Google ha eliminado al menos una de las extensiones culpables de Chrome Web Store.
“Dos aspectos a destacar de este ataque: en primer lugar, la entrega del malware era extremadamente eficiente, llegando a miles de usuarios en sólo 48 horas. En segundo lugar, la respuesta de los usuarios y medios de comunicación ha sido muy rápida. Esa reacción aumentó la concienciación sobre la campaña y condujo a que los analistas lo descubrieran rápidamente“, afirma Ido Naor, analista principal de Kaspersky Lab.
Los analistas de Kapersky Lab han señalado que aquellos usuarios “que crean que pueden estar infectados deben realizar un análisis de malware en su ordenador o abrir su navegador Chrome y buscar extensiones sospechosas. Si las hay, deben cerrar la sesión de la cuenta de Facebook, cerrar el navegador y desconectar el cable de red del ordenador. Debe contar con una solución de seguridad que analice el equipo, compruebe, limpie y elimine el malware.”