Revisando la reciente amenaza de los falsos vídeos en Facebook

No ha sido poca la repercusión de la amenaza que se está propagando por Facebook estos días y que comentábamos ayer en este blog. Muchos han sido los usuarios que nos han preguntado acerca de ella y creímos interesante averiguar quién estaba detrás y cuáles eran sus intenciones.

Pero antes de eso, conviene dar una respuesta a todos aquellos usuarios que nos han preguntado sobre qué hacer si habían sido afectados. Lo primero que hay que tener en cuenta es que este ataque afectaba y se ejecutaba principalmente desde el navegador. El complemento malicioso que se instala en Internet Explorer, Firefox y Chrome puede eliminarse siguiendo estos sencillos pasos:

Internet Explorer: nos dirigimos al menú Herramientas > Administrar complementos. En el apartado Barras de Herramientas y extensiones seleccionamos Youtube extensión y la eliminamos.

Mozilla Firefox: accedemos al menú de Firefox > Complementos y, una vez allí, pulsamos sobre la opción de Extensiones. Nos aparecerá un listado de los complementos que tenemos instalados, por lo que seleccionamos Youtube Extension y lo eliminamos pulsando sobre el botón Eliminar.

Google Chrome: pulsamos sobre el icono de la llave inglesa situado a la derecha de la barra de direcciones y seleccionamos Opciones. En el siguiente menú seleccionamos el apartado Extensiones y eliminamos Youtube Extension.

Como medida de precaución, sería aconsejable que todos aquellos que se hayan visto afectados cambiasen su contraseña de acceso a Facebook.

Con respecto a cómo está la situación en el momento de escribir estas líneas, hemos de decir que ha habido cambios importantes. El más notorio es que Google ha bloqueado aquellas webs de Blogspot que se estaban usando como sitios donde se alojaba la extensión del navegador maliciosa. Por otra parte, desde ESET también hemos empezado a bloquear tanto la extensión como otra de las webs principales que servía esta amenaza.

No obstante, analizando uno de los códigos JavaScript que componen esta amenaza nos dimos cuenta de que había más dominios preparados con fines más que discutibles. Uno de los sitios que se repetía era [Sitio malicioso]hxxp://enchulatufb.info[Sitio malicioso], por lo que decidimos analizarlo.

Observamos que en la página principal no aparecía nada, pero sí que colgaban de ella otras secciones que se encontraban ocultas. Así pues, vimos lo que parecía otra campaña de instalación de supuestos complementos para Facebook que, aunque inactiva, hace presagiar cuál podría ser el próximo movimiento de estos ciberdelincuentes.

Seguimos indagando en dicha web y encontramos referencias a nuevos archivos JavaScript. De todos ellos, nos detuvimos a analizar uno que hacía referencia a un vídeo y que también puede formar parte de una nueva campaña de engaños y estafas que use Facebook como sitio para obtener víctimas.

Si accedemos al enlace encontramos un vídeo que, con el sugerente título de “Descuidos de famosas”, trata de llamar nuestra atención. Visto el éxito que han tenido campañas de propagación de amenazas anteriores usando vídeos similares, no nos extrañaría que esta obtuviera un éxito similar.

La verdad es que, tras analizar ese caso, recordamos que lo que importa no es usar amenazas sofisticadas ni especialmente elaboradas, sino despertar la curiosidad del usuario. Ninguno de los archivos JavaScript que hemos analizado en el laboratorio de ESET en Ontinet.com presentaba un nivel de complejidad elevado, y es más, muchos de ellos parecían tener parte del código copiado y pegado de otros archivos.

En resumen: si no queremos caer víctimas de este tipo de amenazas, es importante que andemos con precaución y usemos el sentido común en las redes sociales. Amenazas como la que hemos estado viendo estos días no suelen ser especialmente complejas ni se aprovechan de agujeros de seguridad usando técnicas elaboradas. Todo lo contrario; el mayor agujero de seguridad se encuentra fuera de nuestros ordenadores y se sitúa entre la pantalla y la silla, por lo que es muy importante que usemos nuestro sentido común.

Josep Albors

Google retira aplicaciones maliciosas del Android Market