Durante los últimos dias, se ha estado observando la propagación de un supuesto video con contenido sexual en Facebook, en el que varios amigos del usuario que lo comparte en su biografía son etiquetados. De esta forma, el contenido sigue llegando a más usuarios, también en la región.
Es curioso que, en todos los casos vistos, la cantidad de personas etiquetadas es alrededor de veinte. Estas son las publicaciones en que las víctimas han sido etiquetadas:
“Este malware no solo infecta el equipo con troyanos para el robo de información, sino que además instala una extensión en el navegador para publicar en Facebook de forma automática y seguir propagando el contenido. Es probable que también robe credenciales de Gmail, porque se abre una pestaña del navegador que requiere acceso a la cuenta”, explica Matías Porolli, Malware Analyst de ESET y encargado de esta investigación.
¿Qué vemos?
Primero, que el título del enlace malicioso tiene el mismo nombre de la persona que lo está compartiendo (la persona que etiqueta a los demás lo hace de forma involuntaria). Segundo, que la configuración de privacidad del post es pública, con lo cual la propagación es más efectiva ya que muchos usuarios la verán en su página de inicio aún sin haber sido etiquetados.
Y por último, que la URL que vemos en la captura anterior ya connota algo sospechoso si consideramos las palabras que contiene.
Algo muy curioso a mencionar es que, al querer acceder a las extensiones (desde la configuración de Chrome), se cierra inmediatamente la pestaña, de manera que no es posible ver qué se instaló ni deshabilitarlo. Además se modifica la barra de Facebook, quedando oculta (aunque no desaparece totalmente, sino que es difícil de encontrar) la opción de configuración que permite cerrar sesión y modificar los ajustes de privacidad, por ejemplo, para ocultar un contenido de los demás contactos.
Pueden ver a continuación cómo se ve modificada la barra superior de Facebook, quedando fuera de la vista el habitual candado para acceder a los ajustes:
¿Hacia dónde nos dirigen estas publicaciones?
Las URLs utilizadas son distintas para cada publicación de un falso video, y puede verse que se generan diversos subdominios de commondatastorage.googleapis.com.
Sin embargo, al visitar las URLs se produce una redirección hacia sitios que lucen como el siguiente:
Los sitios analizados tienen distintas URLs pero la misma apariencia y el mismo engaño: el aviso de que Flash Player está desactualizado, proporcionado un supuesto enlaces desde donde se puede descargar para poder ver el video en cuestión.
“Si el usuario accede a descargar la falsa actualización de Flash Player, se descarga una amenaza constituida por un archivo ejecutable hecho con AutoIT, que extrae otros ejecutables con distintas detecciones. Dentro está incluido wget.exe (muestra limpia que se utiliza para descargar otros archivos), dos troyanos y una extensión maliciosa, probablemente de Chrome”, señala Porolli. Por lo tanto, hay cuatro archivos y tres son maliciosos.
Las firmas de detección de los productos de ESET son:
- Win32/VB.RTN
- Win32/ExtenBro.AK
¿Múltiples amenazas?
La amenaza es detectada como “Multiple Threats”, lo que significa que el ejecutable malicioso no tiene una firma específica, sino que está compuesto por otros ejecutables con varias detecciones distintas. Luego, este ejecutable es una especie de archivo autoextraíble que ejecuta los otros archivos maliciosos contenidos en él.
“Sin embargo, podemos decir que este malware usa wget para descargar otras amenazas de Internet e instala una extensión en el navegador que es la que se encarga de seguir propagando la amenaza por Facebook”, prosigue Porolli.
En efecto, la prueba ejecutada en el Laboratorio de ESET demostró que la extensión instalada en el navegador se encargó de propagar a modo de spam más enlaces maliciosos por Facebook, etiquetando a los amigos de la víctima.
Es importante mencionar que algunos dias atrás, habíamos visto casos similares en Facebook, con la diferencia de que en vez de solicitar la instalación de una falsa actualización de Flash Player, se requería directamente la instalación de una extensión para el navegador.
Quizás, este caso sea parte de una campaña similar que esté en desarrollo, sobre todo si consideramos el caso de la semana pasada en el que una falsa actualización de Adobe Flash logró infectar a más de 100 mil usuarios de Facebook en solo dos dias.
Nombre de la muestra: install_flashplayer14x32_x64md_aaa_aih.exe
MD5: 4e604f89dc3c159a800dee189fd8e248
SHA-1: 78eb7c82a0c36c1002fa920847eb0a8ca9a9cf10
Este virus que la red social más utilizada infectó a cientos de miles de usuarios con una publicación que a falta de mejor nombre se conoce como el “video porno de Facebook”, es la prueba de que no aprendemos más.
En realidad, la técnica de invadir un espacio presuntamente a salvo con anzuelos en forma de pornografía es exactamente la misma que hace décadas circula a través de e-mails, y descuenta que al menos un porcentaje significativo de los destinatarios caerá en la trampa por la sencilla razón de que no puede resistir la tentación de ver un video que prometa acción triple equis.
Pero no alcanza. Nunca alcanza y miles de usuarios de Facebook muestran por estos dias aclaraciones parecidas a esta: “A todos mis contactos: si les aparece que los etiqueto en un video porno, sepan que no soy yo quien lo ha hecho, sino un virus”.
Qué hacer para evitarlo
Si bien lo primero que hay que hacer es no intentar acceder al contenido porno que hay en Facebook (como mínimo deberíamos sospechar de que aparezca en una red social preocupada por las normas y los contenidos que publican sus usuarios), hay una opción para evitar que te etiqueten: ir a la configuración de la cuenta, entrar en “Biografía y etiquetado” y allí elegir las opciones de configuración más adecuadas.
Allí, revisar bien la configuración de los apartados “¿Quién puede agregar contenido a mi biografía?” y “¿Cómo puedo administrar las etiquetas que otros agregan y las sugerencias de etiquetas?”.
Para tener en cuenta
Primera medida. No intentar acceder al contenido porno que hay en Facebook.
Preparados. También es importante que la computadora cuente con programas de antivirus, antispam y antiphishing actualizados. A esta amenaza del video en Facebook.
Qué hago. Hay una opción para evitar que te etiqueten: ir a la configuración de la cuenta, entrar en “Biografía y etiquetado” y allí elegir las opciones de configuración más adecuadas.
Qué es. Este malware no sólo infecta el equipo con troyanos para el robo de información, sino que además instala una extensión en el navegador para publicar en Facebook de forma automática.
Si tienes el virus es porque probablemente estés usando el navegador Google Chrome, y el virus se expande por una EXTENSION OCULTA en ese navegador. Como la eliminamos? FACIL.
En este enlace está bien detallado, pero sino pueden seguir estos pasos. Busquen arriba las 3 rayitas en negro que tienen a la derecha bien arriba de su pantalla generalmente está al lado de la flecha ⬇ (download).
Cuando lleguen a las rayitas busquen en la lista que les apareció, donde dice Configuración, luego verán una lista a la izquierda, buscan donde dice Extensiones, y vean las que tienen. BORRENLAS TODAS (hay un canasto, ahí las tiran).
Después de haber hecho esto en las 3 rayitas de nuevo buscan Historial, luego borran TODO EL HISTORIAL, marcando unas casillas que dicen caché y cookies, Chau virus.
Luego es mejor que configuren su facebook para que les pida permiso si alguien los etiqueta o publica algo en su biografía, yendo a: (ahora en la barra azul de facebook) donde está salir de facebook vean que dice Configuración. luego a la izquierda busquen Biografía y etiquetado y ponen en activar la ultima parte que dice que solicitas que facebook te pida permiso para que los que publiquen algo a nombre tuyo. Espero haberlos ayudado.
Otras alternativas son instalar un antimalware como es Malwarebytes o AdwCleaner
Guia de: ¿Cómo eliminar Virus de Facebook?
Facebook es sin duda la red social más popular del mundo, con más de 800 millones de usuarios registrados y en constante crecimiento, la convierten a la vez en una de las plataformas preferidas por los ciberdelincuentes para distribuir un conjunto de amenazas informáticas como: Malwares, Scam, Spam, Clickjacking, Phishing, Likejacking, etc, etc…
El sistema más comúnmente utilizado por los ciberdelincuentes en Facebook es a través de “engaños” lo que se conoce como “Ingeniería Social” mediante técnicas llamadas: Clickjacking – Likejacking, una especie de spam que se distribuye en la red social ya se por medio de vídeos, fotografías o enlaces (de amigos/contactos previamente infectados, al igual que de falsos perfiles de usuarios o paginas fantasma) que resultan atractivos para despertar nuestra curiosidad en visitarlos y caer en su trampa.
Una vez que los usuarios intentan acceder a dicho contenido, éstos son redireccionados a portales creados por los propios cibercriminales para obtener acceso a las cuentas de sus víctimas sin que éstas se percaten ya sea instalando una aplicación maliciosa en el mismo Facebook, instalando un plugin/add-on en el navegador de la victima o algún tipo de malware del estilo Koodface o similar directamente en el equipo.
Si su cuenta de Facebook comenzó a publicar automáticamente enlaces a vídeos o sitios webs extraños, contenido pornográfico o inapropiado en general, probablemente ha sido víctima de algún mal llamado “Virus de Facebook”.
Desde InfoSpyware queremos compartimos algunas sencillas acciones que pueden implementar para limpiar su cuenta de “virus de Facebook” o recuperar su “cuenta de Facebook hackeada”
Elimine Aplicaciones sospechosas de Facebook.
Es muy probable que el motivo de que su cuenta tenga vida propia enviándoles enlaces Spam a sus amigos/contactos sea generado a través de una aplicación maliciosa por la que fue engañado o instalo accidentalmente. Todas las aplicaciones de Facebook tienen ciertos permisos a su cuenta y bien puede haberle permitido el acceso desde el mismo Facebook o copiando y pegando algún código JavaScript en su navegador que se le haya solicitado.
Ir al menú de “Aplicaciones” (http://www.facebook.com/settings/?tab=applications) en las “Opciones de configuración de su perfil, y busque y elimine cualquier aplicación instalada que sea sospechosa.
Elimine complementos extraños en su navegador web.
Add-ons, Plugins, Complementos, Extensiones, son pequeños componentes de código ejecutable que extienden y/o agregan funciones extra al navegador web de nuestra preferencia: IE, Chrome, Firefox. A diario se crean cientos de sitios webs falsos imitando ser el mismo Facebook, en la cual los usuarios son engañados a que instalen algún tipo de complemento malicioso en su navegador para poder ver una foto o video en la cual supuestamente aparecen.
Obviamente que dicho video no existe, y todo es un engaño para que instalemos ese complemento malicioso en nuestro navegador (por ej: “Youtube Extension”.) el cual luego será el encargado de enviar spam a todos nuestros contactos.
Firefox: Ir a: Herramientas –> Complementos –> Buscar y eliminar cualquier complemento nuevo o desconocido, y reiniciar el navegador web.
Chrome: Ir a: Herramientas –> Extensiones –> Buscar y eliminar cualquier complemento nuevo o desconocido, y reiniciar el navegador web.
Cambie su contraseña de Facebook
Simplemente al escribir incorrectamente la url de Facebook.com en su navegador puede ser dirigido a una de las tantas páginas falsas de Facebook (Phishing) cuyo objetivo es robar su contraseña y demás credenciales de su cuenta. La idea por lo general no es robarle sus fotos de cumpleaños… sino el utilizar su cuenta como una “Botnet Social” dentro de la misma red, para enviarle Spam a todos sus amigos los cuales serán más respectivos a estos mensajes creyendo que vienen de usted.
En este caso, usted debe cambiar su contraseña en Facebook (pulsando en el enlace) inmediatamente, al igual que la contraseña de sus otros servicios webs en donde esté utilizando la misma que en Facebook. En caso de que ya su cuenta haya sido comprometida (hackeada) y no pueda cambiar su contraseña, repórtela inmediatamente en este enlace: facebook.com/hacked.
Cerciórese que su PC se encuentra libre de Virus.
Su equipo pudiera estar infectado por algún virus, keylogger, troyano o gusano como ser alguna de las variantes del famoso Koodface el cual sea el verdadero culpable de que su cuenta de Facebook resulte infectada, por lo que también es importante corroborar que nuestro equipo se encuentra libre de cualquier artimaña.
Para esto le recomendamos que utilice los programas gratuitos recomendados y que siga atentamente los 9 pasos de nuestra:
Guia de detección y eliminación de Malwares 2012.
Limpie la basura publicada en su muro Facebook.
Si fuimos víctima del Clickjacking Likejacking es necesario que evitemos que otros amigos/usuarios caigan en el engaño. Para esto, elimine de su perfil y muro cualquier enlace que no haya sido publicado por usted, y cualquier otro movimiento como ser tags en fotografías o clics en botones de “Me Gusta” de los que fue inducido a pulsar.
A su vez, adviértales a sus amigos que deberían hacer lo mismo, ya que lo más probable es que la aplicación le haya publicado en su muro y/o enviado masajes por privado como si fueran de su parte recomendándole instalar esa aplicación..
Consejos Finales para su seguridad en Facebook.
Si no está seguro si el mensaje, foto, video o enlace fue realmente enviado por un amigo, lo mejor es preguntarle directamente y por supuesto nunca hacer “clic” en estos. En el caso de que no lo hubiera hecho, aproveche para comentarle que probablemente su computadora fue infectada y su cuenta de Facebook comprometida.
Manténgase informado sobre los peligros más relevantes que surgen en Facebook.
Fuentes: ESET e Infospyware