La campaña se dedica a secuestrar cuentas cuando los usuarios hacen clic sobre una imagen SVG (formato de gráficos vectoriales), la cual activa una estafa. Al parecer, la elección de este formato no ha sido casual, ya que permite colocar código directamente sobre una imagen.

La imagen SVG maliciosa contiene enlaces a un sitio web que suplanta YouTube y muestra un mensaje a los usuarios para que instalen una extensión en sus computadoras, pidiéndoles además permisos para “leer y cambiar todos los datos en las web que visites”. Los investigadores piensan que a través de esa extensión falsa el malware se apodera de la cuenta de Facebook de su víctima.

Una vez que la cuenta ha sido secuestrada, el malware se encargará de enviar el mismo señuelo a todos los amigos que la víctima tenga en la red social, esparciendo la infección tan ampliamente como sea posible. Por otro lado, es importante recordar que las estafas no son algo poco común y suelen ser relativamente benignas comparadas con el caso que nos ocupa en esta noticia.

Los investigadores han visto que a través de esta campaña se ha distribuido dos malware: Nemucod, un descargador de malware, y Locky, el famoso ransomware cuya familia ha estado causando estragos desde principios del presente año, destacando el caso de un hospital en Hollywood, California.

Aunque el malware difundido a través de esta campaña de spam en Facebook es bastante peligroso, por suerte el señuelo que emplea no es especialmente sofisticado, debido a que deja margen a la víctima para reaccionar a tiempo si rechaza la extensión maliciosa. Otra cosa que necesita el proceso de infección para iniciarse es que el usuario haga clic sobre la imagen SVG, por lo que esta amenaza es fácil de esquivar si se anda con cuidado.

Este proceso recuerda mucho a los utilizados a través del difunto Messenger de Microsoft, ya que es más probable que un usuario descargue un fichero o haga clic en un enlace si el remitente es un amigo. Una vez que un usuario ha picado el sueñuelo, el malware se distribuye a sí mismo a través de los amigos, aumentando de forma notable las probabilidades de éxito de la campaña.

Al estar difundiendo un ransomware, la campaña sin duda es peligrosa para los usuarios particulares, pero la amenaza resulta todavía mayor cuando la víctima es la computadora de una empresa.

 

Fuente: SC Magazine | muyseguridad