Los ciberdelincuentes no cesan de mejorar sus métodos de propagación de scam. Tal y como vimos hace unos meses en este blog, el uso de Facebook y la posibilidad de visualizar un vídeo impactante se unen a la instalación de un complemento del navegador malicioso y la redirección del usuario a una aplicación potencialmente peligrosa. Nuestro compañero Robert Lipovsky ha analizado estas tendencias y, a continuación, pasamos a ofrecer una adaptación de su post publicado en el blog internacional de ESET.
Los scams del tipo “Me gusta” han sido algo habitual desde hace algún tiempo en Facebook, la mayor red social actual. Las técnicas de “likejacking” usadas por los ciberdelincuentes incluyen imágenes superpuestas, botones de “Me gusta” invisibles y otros métodos similares. Estos trucos pueden ser usados con varios fines maliciosos, incluyendo la distribución de malware. Existen varios ejemplos de malware que se distribuye a través de Facebook (aunque no siempre usan la técnica de likejacking) entre los que encontramos Koobface, Boonana, Win32/Delf.QCZ o Yimfoca, por nombrar solo unos cuantos.
El scam descrito a continuación no nos descarga un archivo ejecutable malicioso de Windows, pero parece que utiliza una propagación viral para promocionar un sitio pornográfico y sacar beneficio del tráfico web de acuerdo a un modelo de “Pago por clic”. Pasemos a ver los detalles que hacen interesante este caso en concreto.
No es el código Da Vinci
Actualmente, el engaño del falso reproductor multimedia o códec se está volviendo anticuado, pero aquí vemos una implementación un poco diferente. Lo típico hubiera sido observar un mensaje como “Para poder ver este gran/impactante/sexy vídeo primero debe descargar la última versión de Flash Player” y, en una práctica común con los troyanos, el archivo descargado y ejecutado por el propio usuario infecta el ordenador de la víctima. En este caso en concreto, la primera parte del scam aún se aplica. Tenemos una web con un diseño parecido al de Facebook que incluye un vídeo sobre “Descuidos de los famosos en TV”. El primer punto interesante es el consejo que da al usuario acerca de desactivar el antivirus, añadiendo después que cualquier detección del archivo descargado como malicioso se tratará de un falso positivo.
Seguidamente, tal y como puede verse en la imagen superior, lo que está siendo bloqueado por nuestro filtrado web no es un archivo ejecutable, sino una página escrita en HTML. Así es como debería verse si no hubiese sido bloqueada:
A la víctima se le invita a instalar un complemento llamado “Youtube Premium”. La parte interesante es que ¡realmente es un plugin! Veamos a continuación el código fuente del HTML:
Podemos ver que el script revisa si el usuario está utilizando Chrome o Firefox como navegador, y luego descarga o instala el complemento correspondiente.
El código que se oculta en la carga vírica
Si echamos un vistazo al código fuente del complemento (ya que se trata de archivos ZIP que contienen código JavaScript en su interior) y seguimos una cadena de archivos .js inyectados (lo que implica que un JavaScript inyecta otro JavaScript, que a su vez inyecta otro JavaScript…). Finalmente llegamos al código responsable de publicar los enlaces maliciosos en el muro de Facebook del usuario. A continuación mostramos un extracto del código (que también incluye correctamente las variables post_form_id y fb_dtsg que Facebook utiliza como una contramedida contra el Cross-Site Request Forgery). Vemos aquí un ejemplo de CSRF donde la seguridad del navegador se ha visto comprometida por la confianza depositada en el usuario.
Esto es lo que pasa cuando se ejecuta el script:
A continuación del texto “OMG! CHECK OUT THIS?” se pueden ver los amigos de Facebook de la víctima que han sido etiquetados en la publicación. De esta manera, se mostrará también en sus muros (aunque ellos no hayan sido infectados… todavía), debido a la configuración por defecto de hacer visibles todas las publicaciones en el muro.
Este ingenioso truco puede provocar una rápida propagación.
Otra carga vírica, llevada a cabo por el código JavaScript en el complemento malicioso, es una redirección descarada al sitio pornográfico anunciado. Esto ocurre tan pronto como el usuario infectado se registra en Facebook y se acompaña de un GIF animado proporcionado por los atacantes:
A continuación se muestra una captura de pantalla difuminada del sitio web pornográfico que se promociona:
¿No eres usuario de Chrome o Firefox?
No te preocupes, los ciberdelincuentes han pensado en algo para ti también. Tal y como puede verse en la tercera captura de pantalla, donde se mostraba el código fuente de newplugin.html, en el caso de que no se detecte ninguno de estos dos navegadores, el usuario es redireccionado a otra URL. Lo que encontramos aquí llamó realmente nuestra atención:
No nos sorprende ver que se necesita un “reproductor” para poder ver el vídeo, ya que así es como funcionan los scams y malware de codec tradicionales. Pero veamos qué ocurre si probamos a descargar este “VAF player”.
Parásitos y PUAs
Nos encontramos con la descarga de un software contenedor, que en realidad termina descargando una copia legítima del reproductor VLC, pero que también ofrece la instalación de una serie de “añadidos”, como pueden ser una dudosa barra de herramientas y la posibilidad de suscribirnos a recibir cupones y ofertas. De nuevo nos encontramos con el tema de las aplicaciones potencialmente no deseadas que ya hemos mencionado en el blog unas cuantas veces. Aquí podemos ver ejemplos de aplicaciones que no son maliciosas por sí mismas, pero tienen métodos de distribución que no son exactamente transparentes. Para obtener más información sobre las aplicaciones potencialmente indeseables recomendamos la lectura de nuestra presentación en Virus Bulletin Fake but free and worth every cent (especialmente la sección “¿Un parásito o un valor añadido?” que se refiere a los contenedores de software como este) y al whitepaper de Aryeh Goretsky Problematic, Unloved and Argumentative: What is a potentially unwanted application (PUA)?.
ESET identifica estas amenazas como HTML/Iframe.B para la detección genérica de inyecciones HTML maliciosas y JS/TrojanClicker.Agent.NCX para estos plugins maliciosos específicos.
Tal y como nuestro compañero David Harley comenta aquí, cualquier información en
relación a scams similares enviada a samples@eset.sk es altamente apreciada. Gracias por ayudarnos a eliminar toda esta basura de la web.
Josep Albors
@JosepAlbors
Contenido original en el blog de ESET Norteamérica