15 may 2011

Hallan código JavaScript sospechoso en aplicación de Facebook

Poner "Me gusta" a una página de fans o a un grupo en casi todas las páginas que te topas en Facebook puede ser contraproducente y algún día dirás que no te habría "gustado" en absoluto.

Los ingenieros de TrendLabsSM encontraron una página de Facebook sospechosa que utiliza código JavaScript para enviar correo no deseado a toda la lista de amigos de un usuario.

La página denominada “10 lies girls ALWAYS tell guys! funny!” ("10 mentiras que las chicas SIEMPRE dicen los chicos! divertido!") es un ejemplo clásico de cómo las páginas de Facebook pueden usar JavaScript para enviar spam a los usuarios que tienen la curiosidad suficiente para pulsar el botón "Haga clic aquí" para ver su contenido. Sin embargo, con el fin de averiguar esto, uno debe seguir las instrucciones que se muestran. Se pide a los usuarios presionar Ctrl + C para copiar el código JavaScript y Alt + D para seleccionar la barra de direcciones. Los pasos sucesivos desde el mensaje ejecutan entonces el código JavaScript.

Figura 1. Ejemplo del spam en Facebook
Figura 2. Ejemplo de las instrucciones de spam
El código que se le pedirá a los usuarios que introduzcan en la barra de direcciones aparece así:
Figura 3. Ejemplo del código JavaScript
La parte superior muestra el código original que se pide al usuario que ingrese, mientras que la parte inferior muestra el código descifrado. Observe que el código original se ha ofuscado, en este caso, usando dos ofuscadores públicos y bien conocidos para JavaScript: el Dean Edwards Packer y el Free JavaScript Obfuscator.

Revisando este código paso a paso, parece que tiene la intención de mantener el elemento de la página especificado oculto. También sobrescribe el contenido de un elemento de página independiente especificado con la de otro elemento de página. El código también crea un clic de ratón simulado en el elemento de página "sugerir". El código hacia el final establece temporizadores de cinco segundos que hacen clic en los elementos que se hallan en el buzón de sugerencias, que selecciona todos los contactos del usuario de Facebook y les sugiere la aplicación a los mismos. A continuación, crea un clic del ratón simulado en el elemento "Me gusta" de la página. Aunque el código no representa ninguna otra amenaza inmediata, aparte de enviar spam a los muros de Facebook y pedidos, no hay nada que detenga a los cibercriminales de utilizar estas técnicas para propagar malware.

El investigador senior de amenazas avanzadas en TrendLabsSM, Ryan Flores, piensa que es interesante observar la interacción del usuario contenida en este método. Él dijo: "(Debido a que) Facebook filtra activamente las URLs de spam, los spammers se están volviendo más inteligentes para promover los sitios de spam sin publicar de inmediato la URL de spam real." Él cree que este método ya no es nuevo, citando el spam con URLs no clickeables en imágenes JPG como ejemplo, que indica al usuario escribir la dirección URL se muestra en la imagen en la barra de direcciones del navegador.

Afortunadamente, la característica de alta interactividad con el usuario que tiene esta amenaza la hace prevenible. Los usuarios siempre deben tener cuidado con posibles aplicaciones falsas en Facebook y evitar seguir instrucciones sospechosas similares a las utilizadas en este ataque.

Traducción: Raúl Batista - Segu-Info
Autor: Robert McArdle (Analista Senior de Amenazas)
Fuente: TrendLabs Malware Blog

Suscríbete a nuestro Boletín

0 Comments:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!