Gusano a través Twitter y Facebook
En las últimas horas un mensaje falso se ha comenzado a propagar en las redes Twitter y Facebook, anunciando un supuesto video pornográfico (que ya fue eliminado).
Al momento de escribir esto se podía ver muchos perfiles de usuarios portugueses/brasileros infectados.
El mensaje que se puede ver en Facebook es el siguiente:
El mensaje que se podía ver en Twitter (ya fue bloqueado) es el siguiente:
Best video: http://jus[ELIMINADO].ru/?video_id=24431
Como puede, en ambos casos se redirige al usuario a un sitio ruso, desde donde se puede descargar un gusano que roba credenciales de ambos servicios, para luego continuar la propagación de sí mismo a través del perfil correspondiente a ese usuario.
Es decir que se utiliza al usuario y se lo transforma en un spammer involuntario, motivo por el cual algunas cuentas de Twitter han sido bloqueadas temporalmente y serán devueltas cuando el problema finalice.
La página contenía el siguiente video, ya clausurado por YouTube:
Además en el código fuente, se podía ver el siguiente iframe, desde posiblemente se descargaba el malware.
Es obvio que mientras el usuario miraba el video, además se descargaba una nueva página "invisible" que infectaba al usuario. En el momento de escribir el presente, dicha página no se encuentra disponible.
La forma de funcionamiento y el comportamiento del gusano me hace suponer que se trata de una variante de Koobface, similar a la reportada hace meses aquí mismo y del cual se puede conocer más aquí.
Actualización 20:45: el iframe ya no aparece en la página mencionada, lo que indica que están actualizando la misma y podría cambiarse el código para intentar otro ataque.
Actualización 21:oo: probando la funcionalidad de Facebook que permite redirigir a los usuarios a través de un comando como el siguiente: http://www.facebook.com/l/;http://www.segu-info.com.ar/, no termino de entender el motivo de la existencia de la misma.
Cristian de la Redacción de Segu-Info
Al momento de escribir esto se podía ver muchos perfiles de usuarios portugueses/brasileros infectados.
El mensaje que se puede ver en Facebook es el siguiente:
El mensaje que se podía ver en Twitter (ya fue bloqueado) es el siguiente:Best video: http://jus[ELIMINADO].ru/?video_id=24431
Como puede, en ambos casos se redirige al usuario a un sitio ruso, desde donde se puede descargar un gusano que roba credenciales de ambos servicios, para luego continuar la propagación de sí mismo a través del perfil correspondiente a ese usuario.Es decir que se utiliza al usuario y se lo transforma en un spammer involuntario, motivo por el cual algunas cuentas de Twitter han sido bloqueadas temporalmente y serán devueltas cuando el problema finalice.
La página contenía el siguiente video, ya clausurado por YouTube:
Además en el código fuente, se podía ver el siguiente iframe, desde posiblemente se descargaba el malware.
Es obvio que mientras el usuario miraba el video, además se descargaba una nueva página "invisible" que infectaba al usuario. En el momento de escribir el presente, dicha página no se encuentra disponible.La forma de funcionamiento y el comportamiento del gusano me hace suponer que se trata de una variante de Koobface, similar a la reportada hace meses aquí mismo y del cual se puede conocer más aquí.
Actualización 20:45: el iframe ya no aparece en la página mencionada, lo que indica que están actualizando la misma y podría cambiarse el código para intentar otro ataque.
Actualización 21:oo: probando la funcionalidad de Facebook que permite redirigir a los usuarios a través de un comando como el siguiente: http://www.facebook.com/l/;http://www.segu-info.com.ar/, no termino de entender el motivo de la existencia de la misma.
Cristian de la Redacción de Segu-Info
Creative Commons Atribución-No Comercial-Compartir Obras Derivadas Igual 2.5
-
Posts Relacionados:
Qué bueno que uso linux
claro como te va infectar si para que el virus instale algo es todo una enredadera, ese linux se pasa de extravagante!!!
Publicar un comentario
Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.
Gracias por comentar!