Kaspersky Lab ha descubierto un ataque de malware que ha engañado a unos 10.000 usuarios de Facebook en todo el mundo al infectar sus dispositivos tras recibir un mensaje de un amigo pidiéndole que le mencione en Facebook. Los dispositivos comprometidos se han utilizado para secuestrar las cuentas de esta red social con el fin de propagar la infección a través de los amigos de la víctima y para permitir otras actividades maliciosas. Brasil, Polonia, Perú, Colombia, México, Ecuador, Grecia, Portugal, Túnez, Venezuela, Alemania e Israel han sido los países más afectados.
Entre el 24 y el 27 de junio miles de usuarios recibieron un mensaje de algún amigo en Facebook pidiéndole que le mencionara en un comentario. La cadena fue iniciada por unos ciberdelincuentes y desató un ataque de dos etapas. La primera etapa descargaba e instalaba un troyano en el ordenador del usuario y una extensión del navegador Chrome malicioso, entre otras cosas. Esto permitió que en la segunda etapa, se tomara el control de la cuenta de Facebook de la víctima al iniciar sesión de nuevo a través del navegador comprometido.
Un ataque con éxito permitía cambiar la configuración de privacidad, extraer datos y mucho más; lo que posibilitó que la infección se propagara a través de la red de amigos de Facebook de la víctima, e incluso llevar a cabo otras actividades maliciosas como spam, robo de identidad y la generación fraudulenta ‘likes’ o ‘compartir’. El malware trató de protegerse a sí mismo del acceso a las listas negras de cientos de sitios web, como las de los proveedores de software de seguridad.
Las personas que utilizan equipos basados en Windows para acceder a Facebook tenían un mayor riesgo. Los usuarios con dispositivos móviles Android e iOS eran inmunes ya que el malware utiliza bibliotecas que no son compatibles con estos sistemas operativos móviles. El troyano utilizado por los atacantes no es nuevo. Se informó de él hace un año, cuando hizo uso de un proceso de infección similar. En ambos casos, los signos del lenguaje en el malware parecen apuntar a ciberdelincuentes de habla turca.
Facebook ha mitigado esta amenaza y bloqueado las técnicas que se utilizan para propagar malware de equipos afectados. Google también ha eliminado al menos una de las extensiones culpables de Chrome Web Store.
“Dos aspectos a destacar de este ataque: en primer lugar, la entrega del malware era extremadamente eficiente, llegando a miles de usuarios en sólo 48 horas. En segundo lugar, la respuesta de los usuarios y medios de comunicación ha sido muy rápida. Esa reacción aumentó la concienciación sobre la campaña y condujo a que los analistas lo descubrieran rápidamente”, afirma Ido Naor, analista principal de Kaspersky Lab.
Los usuarios que crean que pueden estar infectados deben realizar un análisis de malware en su ordenador o abrir su navegador Chrome y buscar extensiones sospechosas. Si las hay, deben cerrar la sesión de la cuenta de Facebook, cerrar el navegador y desconectar el cable de red del ordenador. Debe contar con una solución de seguridad que analice el equipo, compruebe, limpie y elimine el malware.