Parece que las malas no paran de caer al gigante de las redes sociales Facebook y otra vez son problemas con aplicaciones que se muestran de una forma y en realidad son malware. Ahora bien, ¿como es que pasan el estricto control de Facebook? en realidad no sabemos a ciencia cierta si esto existe. Lo que sí sabemos es que decenas de miles de cuentas ahora son el blanco de un malware que se hace pasar por una aplicación para aliviar el stress pintando.
Investigadores de la empresa de seguridad Radware han mostrado detalles muy interesantes de la forma en que opera este programa. La aplicación “para aliviar el stress pintando” se encuentra en un dominio que usa una representación Unicode y se muestra en todos los motores de búsqueda de la web y programas de correo electrónico. Arriba podemos ver una captura de Google y la aplicación en cuestión.
Es probable, según afirman los investigadores, que el programa esté siendo promovido en forma de spam a los correos electrónicos de las personas. Cuando se instala, el malware aparece en forma de un programa indefenso de pintura en el que se pueden cambiar colores, tipos de líneas, etc. Pero, lo que sucede por detrás es la consecuencia más grave. Este programa copia datos desde Chrome que incluyen cookies y contraseñas almacenadas por Facebook. Cada vez que un blanco reinicia su PC o abre el programa, este, copia sus credenciales de Facebook y los datos robados son enviados a un servidor de “comandos y control”. El grupo de investigadores logró entrar al servidor de comandos y encontró más de 40 mil computadoras que habían sido comprometidas, como resultado miles de cuentas de Facebook ahora son un blanco fácil para el malware. Cualquier detalle de pagos ligados a la cuenta, detalles de contactos, páginas y más han sido comprometidas.
La interfaz de comandos también posee una sección en donde se pueden ver claramente las credenciales de Amazon de las víctimas. Por fortuna, esta sección se encontraba vacía al momento en que los investigadores tuvieron acceso y se piensa que aún no está activa en el código del malware. También, dentro del panel de control se pudo ver una variante de este.
Notas Finales:
Ahora, debemos pensar “por qué” hasta el mejor programa de antivirus no puede detectar (aún) este malware. La respuesta es sencilla, el malware fue diseñado para ser indetectable. El proceso de copia toma menos de un minuto por tanto los antivirus no son capaces de detectarlo. El malware básicamente copia cookies y contraseñas mediante una consulta a las “cookies originales” y “archivos de login”. Muy simple, eficaz y letal. Facebook ha dicho lo de siempre “estamos investigando los detalles de este malware y dando los pasos necesarios para proteger y notificar a aquellos que han sido vulnerados”.
Fuente: wccftech
