Durante la última semana han aparecido múltiples noticias que apuntaban al uso de mensajería instantánea (por ejemplo, el chat de Facebook) como vector de propagación de malware. En alguno de estos casos, los investigadores afirman que se estarían usando ficheros infectados que se hacen pasar por imágenes para propagar ransomware que cifraría los ficheros de las víctimas para solicitarles un rescate.
Imágenes y extensiones de Chrome maliciosas
El primero en dar la voz de alarma sobre esta nueva propagación de malware fue el investigador Bart Blaze, quien afirmó haber descubierto que se estaban enviando imágenes en formato SVG a través del chat de Facebook con la finalidad de infectar a los usuarios.
Imagen cortesía de Bart Blaze
Este formato permite añadir contenido en forma de código JavaScript dentro de la propia imagen y por eso resulta idóneo para propagar malware sin levantar demasiadas sospechas. De esta forma se pueden añadir enlaces a direcciones web controladas por los atacantes, como la que vemos a continuación que simula ser YouTube y que muestra una ventana emergente indicando la necesidad de instalar una extensión para el navegador Chrome.
Imagen cortesía de Bart Blaze
El uso de extensiones maliciosas para propagar malware no es algo nuevo y ya hemos visto ejemplos anteriores. Su apariencia inofensiva hace que muchos usuarios las instalen sin mucho reparo, y además provocan que los mensajes maliciosos se propaguen entre sus contactos a través del chat de Facebook.
En este caso, la preocupación vino porque algunos investigadores comprobaron que esta extensión maliciosa de Chrome descargaba el malware Nemucod, utilizado por los criminales a su vez para descargar malware de todo tipo, incluido ransomware. Es por eso que se asumió que se estaba utilizando este vector de ataque para propagar una nueva variante del infame Locky, aunque Facebook desmintió posteriormente este punto indicando que no habían detectado que se estuviese descargando dicho ransomware.
Imágenes que descargan malware
Muy posiblemente relacionado con el punto anterior, investigadores de la empresa de seguridad Check Point afirmaron haber encontrado un método que utilizaría imágenes modificadas para contener malware dentro de ellas y propagarlas a través de Facebook y LinkedIn.
Según su investigación, un atacante podría aprovechar estas aparentemente inofensivas imágenes para tratar de engañar a sus víctimas y hacer que estas descarguen malware en sus ordenadores. De esta forma, el usuario engañado quedaría infectado tan pronto como intentase abrir la supuesta imagen.
A pesar de que se ha hecho especial hincapié en el ransomware, esta técnica serviría para propagar cualquier tipo de malware y, a efectos prácticos, el verdadero peligro se encuentra en camuflar el malware como una imagen y no tanto en cómo se propaga.
Conclusión
Tal y como acabamos de observar, estas técnicas de propagación del malware pueden ser utilizadas por los creadores de ransomware para propagar sus creaciones de forma sencilla. Es importante revisar cualquier tipo de fichero que recibamos por mensajería instantánea, sea del tipo que sea, puesto que se pueden utilizar muchas extensiones para intentar engañarnos.
Lo mejor ante este tipo de ataques es desconfiar de archivos no solicitados, por mucho que nos lo envíe alguien de confianza, puesto que esta persona puede haber sido infectada sin saberlo y estar propagando malware entre todos sus contactos.