Durante los últimos días, el Laboratorio de Investigación de ESET Latinoamérica ha estado observando la propagación de un supuesto video con contenido sexual en Facebook, en el que varios amigos del usuario que lo comparte en su biografía son etiquetados. De esta forma, el contenido sigue llegando a más usuarios, también en la región.
Es curioso que, en todos los casos vistos, la cantidad de personas etiquetadas es alrededor de veinte. Estas son las publicaciones en que las víctimas han sido etiquetadas:
"Este malware no solo infecta el equipo con troyanos para el robo de información, sino que además instala una extensión en el navegador para publicar en Facebook de forma automática y seguir propagando el contenido. Es probable que también robe credenciales de Gmail, porque se abre una pestaña del navegador que requiere acceso a la cuenta", explica Matías Porolli, Malware Analyst de ESET y encargado de esta investigación.
¿Qué vemos?
Primero, que el título del enlace malicioso tiene el mismo nombre de la persona que lo está compartiendo (la persona que etiqueta a los demás lo hace de forma involuntaria). Segundo, que la configuración de privacidad del post es pública, con lo cual la propagación es más efectiva ya que muchos usuarios la verán en su página de inicio aún sin haber sido etiquetados.
Y por último, que la URL que vemos en la captura anterior ya connota algo sospechoso si consideramos las palabras que contiene.
Algo muy curioso a mencionar es que, al querer acceder a las extensiones (desde la configuración de Chrome), se cierra inmediatamente la pestaña, de manera que no es posible ver qué se instaló ni deshabilitarlo. Además se modifica la barra de Facebook, quedando oculta (aunque no desaparece totalmente, sino que es difícil de encontrar) la opción de configuración que permite cerrar sesión y modificar los ajustes de privacidad, por ejemplo, para ocultar un contenido de los demás contactos.
Pueden ver a continuación cómo se ve modificada la barra superior de Facebook, quedando fuera de la vista el habitual candado para acceder a los ajustes:
¿Hacia dónde nos dirigen estas publicaciones?
Las URLs utilizadas son distintas para cada publicación de un falso video, y puede verse que se generan diversos subdominios de commondatastorage.googleapis.com.
Sin embargo, al visitar las URLs se produce una redirección hacia sitios que lucen como el siguiente:
Los sitios analizados tienen distintas URLs pero la misma apariencia y el mismo engaño: el aviso de que Flash Player está desactualizado, proporcionado un supuesto enlaces desde donde se puede descargar para poder ver el video en cuestión.
"Si el usuario accede a descargar la falsa actualización de Flash Player, se descarga una amenaza constituida por un archivo ejecutable hecho con AutoIT, que extrae otros ejecutables con distintas detecciones. Dentro está incluido wget.exe (muestra limpia que se utiliza para descargar otros archivos), dos troyanos y una extensión maliciosa, probablemente de Chrome", señala Porolli. Por lo tanto, hay cuatro archivos y tres son maliciosos.
Las firmas de detección de los productos de ESET son:
- Win32/VB.RTN
- Win32/ExtenBro.AK
¿Múltiples amenazas?
La amenaza es detectada como “Multiple Threats”, lo que significa que el ejecutable malicioso no tiene una firma específica, sino que está compuesto por otros ejecutables con varias detecciones distintas. Luego, este ejecutable es una especie de archivo autoextraíble que ejecuta los otros archivos maliciosos contenidos en él.
"Sin embargo, podemos decir que este malware usa wget para descargar otras amenazas de Internet e instala una extensión en el navegador que es la que se encarga de seguir propagando la amenaza por Facebook", prosigue Porolli.
En efecto, la prueba ejecutada en el Laboratorio de ESET demostró que la extensión instalada en el navegador se encargó de propagar a modo de spam más enlaces maliciosos por Facebook, etiquetando a los amigos de la víctima.
Es importante mencionar que algunos días atrás, habíamos visto casos similares en Facebook, con la diferencia de que en vez de solicitar la instalación de una falsa actualización de Flash Player, se requería directamente la instalación de una extensión para el navegador.
Quizás, este caso sea parte de una campaña similar que esté en desarrollo, sobre todo si consideramos el caso de la semana pasada en el que una falsa actualización de Adobe Flash logró infectar a más de 100 mil usuarios de Facebook en solo dos días.
Nombre de la muestra: install_flashplayer14x32_x64md_aaa_aih.exe
MD5: 4e604f89dc3c159a800dee189fd8e248
SHA-1: 78eb7c82a0c36c1002fa920847eb0a8ca9a9cf10
Análisis de Matías Porolli, Malware Analyst de ESET.