El spam de Facebook vuelve a la carga

Hace un par de días saltó la noticia de que Facebook desactivó algunas cuentas de usuario por error. Nada fuera de lo normal en una red de ese tamaño. No obstante, la repercusión que tuvo esa noticia ha hecho que los ciberdelincuentes la utilicen como cebo para propagar sus códigos maliciosos. Uno de los métodos usados es el clásico envío de correos electrónicos con ficheros adjuntos infectados. Esta técnica hace tiempo que dejó de ser innovadora, pero la sencillez con la que se pueden enviar millones de correos de este tipo desde máquinas infectadas conectadas a una botnet hace que (aunque el porcentaje de usuarios que caigan en la trampa sea relativamente bajo comparado con otros vectores de ataque) siga siendo rentable.

A continuación vemos un ejemplo de este tipo de correos recibido en nuestro laboratorio:

El correo pasaría sin pena ni gloria para la mayoría de usuarios y, probablemente, la mayoría lo eliminarían, pero, tal y como hemos comentado, el reciente incidente ocurrido con el bloqueo de cuentas de Facebook puede hacer que algún usuario afectado baje la guardia y ejecute el archivo adjunto. Este archivo contienen una variante más del código malicioso que las soluciones de seguridad de ESET detectan como el troyano Win32/Oficla.JJ.

Estamos ante otro ejemplo de malware clásico que se aprovecha de la ingeniería social para conseguir que el usuario ejecute el código malicioso. En esta ocasión se ha usado un fallo cometido por Facebook pero los creadores de malware están siempre atentos a las noticias de actualidad para propagar este tipo de amenazas.

Desde el laboratorio de ESET en Ontinet.com aconsejamos a nuestros lectores ignorar este tipo de correos, aunque provengan de remitentes confiables. Existen varios indicios que podemos revisar para decidir si nos encontramos ante un correo legítimo o no, como pueden ser el idioma en el que está redactado, la calidad de su gramática u ortografía o los ficheros adjuntos sospechosos. Siempre vale la pena perder un poco de tiempo revisando estos puntos antes que arriesgarse a quedar infectados.

Josep Albors

Factura desde Brasil que instala malware camuflado de Flash Player