22 dic 2011

Análisis de un video malicioso en Facebook

Hola!

Muy buenas a todos/as!

En el uso de las redes sociales convergen distintos usuarios con diferentes niveles de conocimiento en seguridad informática y buenas prácticas.

Es por eso, que cuando hay un video con código malicioso se expande muy rápidamente entre los usuarios.

Facebook ya ha sufrido ataques contra los usuarios, en los que diferentes enlaces a vídeos que contenían malware.

Estaba navegando por Facebook y en uno de mis amigos me encuentro con estos vídeos.

Al hacer click en este enlace el usuario era enviado a otra página web con esta apariencia:

A la vista del usuario esto parece un dominio legítimo, de Facebook, ya que conserva la cabecera de Facebook.

Podemos consultar las peticiones de la página web.

Si observamos el código fuente podemos ver la carga de un iframe en la página web.

También cargará hoja de estilos de ese dominio:

En los dos casos como origen se trata de otro dominio.

Además este tipo de sitios, realizan un conteo de las visitas que reciben y con que palabras claves llegan, si es que no llegan directamente desde Facebook. En este caso el servicio es among.

En la instalación del plugin, es necesario saber con que navegador esta accediendo el usuario. Esto es algo realmente sencillo, por ejemplo con este script que hay en la página:

Podemos ver que en el caso de Chrome nos descargará un plugin para Chrome y en el caso de Firefox otro plugin para Firefox. Ahora instalamos el plugin en el navegador para hacer una prueba. Una vez instalado comprobamos la información sobre el plugin.

Si echamos un vistazo a la web que referencia el plugin, podemos ver que el dominio está hosteado con un sistema Cloudflare.

Finalmente cuando hemos instalado el plugin e intentamos acceder a la página web somos dirigidos hacia una página web distinta, donde seremos invitados a introducir nuestro número de móvil para el envío de publicidad.

Finalmente después de haber instalado el plugin, somos dirigidos aquí. El tipo de webs como esta, hay varias que se dedican a hacer lo mismo.

En el siguiente apartado analizaremos mas sobre este tipo de páginas maliciosas.

Hay que tener conciencia con los usuarios para que no caigan en este tipo de fraudes, que provocan una infección masiva entre mismos contactos

Saludos

3 comentarios:

  1. bastante producido el ataque. Incluso te instala un plugin válido para el navegador que estés utilizando. Yo imaginaba que con simplemente hacerte descargar un troyano cuando le doy a "descargar plug-in" alcanzaría.Es realmente difícil proteger a un usuario sin conocimientos técnicos de estos ataques. Y mas viendo el buen thumb que eligieron para el video :PSaludos

    ResponderEliminar
  2. Exelente articulo, yo hice un analisis parecido. Y traté de advertir a mis contactos, pero es dificil hacerles entender.Por cierto, debe haber algun tutorial en algun lugar, porque se esta expandiendo muchisimo estos tipos de ataques.Les dejo el enlace por si les interesahttp://gonzac-studios.blogspot.com/2011/12/virus-en-facebook-y-estafas.htmlSaludos

    ResponderEliminar