Malware de Facebook: cómo funcionan, cómo protegerse contra ellos y qué hacer si te infectas

Análisis de malware

Malware de Facebook: cómo funcionan, cómo protegerse contra ellos y qué hacer si te infectas

7 de febrero de por Iván Dimov

1. Introducción

La historia de las redes sociales precede al siglo XXI y desde entonces personas malévolas han intentado infiltrarse en las computadoras de personas inocentes utilizando estos medios con la esperanza de 1) obtener información confidencial como detalles bancarios e información personal, 2) usar la máquina como puente en importantes ataques cibernéticos, 3) hacerse pasar por usted y usar su cuenta para sus propios fines, 4) instalar algún tipo de adware en su computadora y bombardear su máquina con interminables anuncios emergentes, 5)difundir spam a través de su computadora para obtener ganancias materiales, engañarlo para que complete una encuesta o intentar por cualquier otro medio adquirir recursos financieros y transmitir el virus a más personas a través de su máquina con la esperanza de multiplicar sus ganancias materiales, 6 )tomar represalias, ganar fama o demostrar que pueden infiltrarse en la máquina de alguien y/y propagar el virus a mucha gente por las mismas razones. Generalmente todo virus es malicioso ya que esa es su razón de ser. Para combatir eficazmente los virus en Facebook, uno debe ser consciente no sólo de las medidas necesarias que se deben tomar para protegerse, sino que también debe conocer las diversas formas en que pueden transmitirse a su máquina, ya que esto afectará en gran medida Reduzca los riesgos de contraer un virus mostrando cuándo y dónde esperarlos. Además, también es necesario familiarizarse con los medios para combatir un código malicioso existente en su máquina importado de una red social como Facebook.

¡Conviértete en un ingeniero inverso certificado!

Obtenga capacitación práctica en vivo sobre análisis de malware desde cualquier lugar y conviértase en un analista certificado de ingeniería inversa. Comienza a aprender

A continuación, analizo varios virus de Facebook notorios y hablo sobre su propósito, su forma de dispersión, formas de evitarlos y, por último, pero no menos importante, deshacerme de ellos.

2. Formas populares de ataque en Facebook

Hay 9 formas populares de atacar tu perfil de Facebook. Ellos son:

1) clickjacking, donde se ejecutan acciones ocultas cuando haces clic en un botón o enlace a la vista.

2) Descarga automática, donde se instala inmediatamente un malware en su dispositivo cuando visita un sitio web. La descarga automática generalmente ocurre sin ninguna solicitud de permiso ni aviso de que está descargando el malware.

3) La vulneración de la contraseña se produce cuando los delincuentes crean páginas de inicio de sesión falsas para engañarlo y obligarlo a proporcionar sus datos de inicio de sesión en las aplicaciones de Facebook o solicitar estos detalles por otros medios a través de las aplicaciones de Facebook.

4) Los mensajes directos pueden ser maliciosos cuando una o más cuentas de sus amigos están comprometidas (infectadas) y, sin saberlo, le envían mensajes que a menudo hacen que su máquina también contraiga malware.

5) El contenido malicioso es otra forma en que los delincuentes propagan su malware. Después de que su amigo esté infectado, lo más probable es que envíe publicaciones en el muro (y otros medios para correr la voz) con contenido malicioso.

6) Los enlaces acortados son una forma que tienen los delincuentes de disfrazar el contenido maligno que contiene la URL real.

7) Se pueden instalar aplicaciones dañinas en su dispositivo después de hacer clic en un enlace maligno. Esto suele ocurrir cuando, después de hacer clic en el enlace, se le solicita que actualice un programa popular como Adobe Flash Player (si la aplicación maliciosa está disfrazada de un vídeo). Estas aplicaciones también pueden solicitar información confidencial o detalles de inicio de sesión.

8) Los perfiles falsos son una práctica muy extendida y por eso no debes agregar en Facebook personas que no conoces. Por lo general, estos perfiles incluyen fotografías de una mujer o un hombre muy bello. Esto es para hacer que el perfil sea atractivo y engañarte para que agregues al delincuente como amigo. Una vez que lo hagas, no sólo espiarán tu información personal y tus fotos, sino que también te enviarán contenido y mensajes maliciosos.

9) Los correos electrónicos son un método popular de phishing y propagación de malware. El delincuente le enviará un correo electrónico que parece un mensaje de Facebook y le afirmará que tiene una nueva solicitud de amistad o alguna notificación; Cuando haces clic en el enlace para agregar al amigo o revisas la notificación, habrás instalado un malware.

3. GUSANO_STEKCT.EVL

3.1: Antecedentes . Stekct.Evl es un virus de Facebook relativamente nuevo que se transmite a través de la ventana de chat emergente de Facebook. Puede infectar su máquina si alguien de su lista de amigos que está infectado le envía sin darse cuenta un enlace aparentemente inofensivo a un sitio web y usted lo abre. Si abre dicho enlace desde un mensaje de chat de Facebook, el gusano descargará automáticamente una réplica de sí mismo. Afecta sólo a 1 sistema operativo; es decir, Windows.

Lo malo es que si está utilizando una versión anterior de este sistema operativo (Windows, Windows XP, Windows 9x, etc.) y un producto antivirus desactualizado sin protección completa en tiempo real y zona de pruebas, cuando se infecta, su Es posible que el software antivirus no pueda solucionarlo. Stekct.Evl no sólo intenta anular dicho software protector sino que también intenta eliminarlo de su máquina. Esto puede dificultar el tratamiento posterior a la infección para algunos usuarios y la mejor manera de lidiar con este malware es no infectarse en absoluto.

3.2: Prevención . Una forma eficaz de evitar el gusano es asegurarse de que fue un amigo suyo quien realmente envió el mensaje. Sólo debes tener paciencia antes de abrir el enlace y preguntarle a tu amigo si lo envió o qué contiene. Si quiere que veas este enlace, seguramente te responderá.

Sin embargo, si no responde, es muy probable que sea un mensaje enviado por el malware y debes ignorarlo. Normalmente, si es el gusano, o no responderán a tu mensaje (ya que no fueron ellos quienes enviaron el mensaje original y es posible que no estén mirando su Facebook en este momento) o te dirán que no enviaron Tienes algún enlace. En ambos casos, estará a salvo del malware y no permitirá que se propague también a sus amigos.

Una vez que te hayas asegurado de que se trata de un malware, puedes notificar a tu amigo que está infectado para que pueda tomar medidas para eliminarlo. Otra forma de estar protegido es tener un producto AV decente con protección total en tiempo real y zona de pruebas.

3.3: Prevención – Continuación . La URL del mensaje de Facebook conduce a un archivo llamado “May09-Picture18.JPG_www.facebook.com.zip”. De hecho, es un archivo ejecutable y en realidad no está tan astutamente enmascarado. Por lo tanto, asegúrese de rastrear la ruta del enlace y ver si hay un “May09…” en caso de que tenga dudas sobre si un enlace de su amigo conduce a este malware en particular.

El único problema es que el enlace real no está a la vista debido a una técnica de acortamiento de URL (actualmente existen más de 300 proveedores de acortamiento de URL). Por lo tanto, para estar seguro, primero debe obtener una vista previa del enlace para ver adónde conduce y qué tipo de cosas hay allí. Todos los proveedores de servicios de acortamiento de URL famosos le ofrecen la opción de obtener una vista previa de un enlace acortado antes de abrirlo.

Por ejemplo, para obtener una vista previa del enlace cuando está acortado por bit.ly y goo.gl, simplemente copie el enlace acortado en su navegador y agregue un signo más al final de la URL. Haga clic aquí para ver una lista más completa de formas de obtener una vista previa de una URL acortada en los distintos sitios web que ofrecen servicios de acortamiento. Otra forma de ver cuál es la URL real detrás de la acortada es utilizar un decodificador de URL como http://trueurl.net/ . Si no puede obtener una vista previa del enlace, siga el otro paso mencionado anteriormente para evitar la infección.

3.4: Finalidad. El propósito del gusano es 1) recopilar información confidencial (posiblemente para robo de identidad o infiltrarse en su cuenta bancaria) y 3) utiliza su cuenta de Facebook para enviar mensajes a sus amigos. Esto se debe a que el gusano Stekct.Evl, además de eliminar su software antivirus, instala otro gusano llamado “WORM_EBOOM.AC” que monitorea su actividad de navegación en varias redes sociales como Facebook, Twitter, MySpace y WordPress. Examina no sólo sus mensajes privados sino también los mensajes publicados que fueron eliminados y la publicación de mensajes.

3.5: Tratamiento post-infección . El tratamiento incluye ejecutar su computadora en modo seguro y eliminar varios valores y archivos de registro a través del Editor del Registro, luego reiniciar su dispositivo en modo normal y ejecutar su software antivirus para realizar un escaneo en busca de archivos llamados “WORM_STEKCT.EVL”. Haga clic aquí para ver exactamente qué se debe eliminar en la Enciclopedia de amenazas de Trend Micro; el procedimiento se describe en la sección “Solución”.

Si está utilizando una versión más nueva de Windows y un producto antivirus decente con protección completa en tiempo real y zona de pruebas, es posible que pueda solucionarlo fácilmente, ya que la zona de pruebas ejecutará el archivo riesgoso de forma virtual y el antivirus encontrará el virus inmediatamente después de descargarlo. . Sin embargo, si no tiene dicho producto AV, es posible que no pueda instalarlo después de la infección, ya que el gusano se esfuerza por mantener los productos AV alejados de su computadora.

4. El virus Koobface (WORM_KOOBFACE.AZ)

4.1: Antecedentes .Koobface es un malware no tan reciente que se transmite a través de Facebook y otras redes sociales. Básicamente, recibes un mensaje de un amigo en Facebook (no a través de la ventana emergente de chat) que te proporciona una frase como “Este es el vídeo contigo en la calle” y un enlace para verlo.

Si se abre, el enlace parece como si estuviera ingresando a YouTube (phishing clásico) u otro sitio web confiable y también parece que se aloja un video legítimo porque el nombre de su amigo de Facebook aparece en el sitio web (el sitio web podría ser YouTube o podría ser ser diferente) haber alojado el vídeo y hay una foto extraída de su Facebook que lo indica aún más.

La cuestión es que “antes” de reproducir el vídeo se le solicita que instale algo (como una versión más reciente de Adobe Flash Player) y si hace clic en “Instalar” (por lo tanto, descarga setup.exe), el gusano se guarda en su dispositivo. Luego, el gusano navega a través de sus cookies, se conecta a sus sitios de redes sociales a través de la información de inicio de sesión guardada en estas cookies e intenta infectar a sus amigos enviándoles el mismo mensaje.

4.2: Propósito . Los propósitos de este gusano, de los objetivos mencionados en la introducción, son 4, 1 y 3. Es decir, el gusano alterará sus resultados de búsqueda de Google para que consistan en los sitios que desea anunciar y, por lo tanto, usted será bombardeado con resultados de búsqueda, que son anuncios y generan dinero para los malvados (4). Además, si posee y desarrolla sitios web, el gusano Koobface puede robar sus contraseñas y hacer un mal uso de ellas (1). Además, el malware puede abrir ventanas emergentes en su máquina pidiéndole que instale “software de seguridad” que sirven a sus propios fines; El malware también puede utilizar sus cuentas de redes sociales para enviar mensajes a sus amigos (3).

4.3: Prevención. Los métodos de prevención son muchos. En primer lugar, sólo debes instalar software de sitios web respetados y confiables (como la actualización de Adobe Flash Player en el ejemplo mencionado anteriormente). En segundo lugar, siempre debes confirmar que el enlace apunta al sitio web confiable al que dice apuntar. Por lo tanto, para protegerse eficazmente contra el gusano y el intento de phishing, siempre debe comprobar si la ortografía del sitio web es correcta, puede que falte una letra o una extra.

Debe activar cualquier firewall que pueda tener y tener instalado un software antivirus confiable que lo proteja activamente. Otra forma de evitar Koobface se explica en 2.2 con respecto a Stekct.Evl, pero de alguna manera también se aplica a este gusano en particular. Por último, pero no menos importante, asegúrese de que su navegador se actualice con frecuencia y de que utilice un navegador que tenga una función anti-virus. lista negra de phishing.

4.4: Tratamiento post-infección . No es difícil deshacerse de Koobface. En primer lugar, debes eliminar tus cookies y cambiar tu contraseña. Esto impedirá que el gusano utilice su cuenta de Facebook. En segundo lugar, debes habilitar las aprobaciones de inicio de sesión. Esto hará que iniciar sesión desde un nuevo dispositivo requiera que se envíe un código de seguridad a su teléfono móvil.

Por lo tanto, incluso si obtienes el Koobface, tu Facebook saldrá ileso. Para eliminar eficazmente el gusano y eliminar las demás consecuencias derivadas de la presencia de Koobface en su dispositivo, simplemente ejecute un análisis completo del sistema utilizando un software AV actualizado. Es así de simple.

5. Aplicaciones maliciosas en Facebook

Las aplicaciones maliciosas en Facebook han aparecido y desaparecido con la misma rapidez, pero no sin dejar un rastro de destrucción. La cuestión es que Facebook detecta rápidamente estas aplicaciones maliciosas y las elimina de su directorio, pero muchas personas se infectan antes, ya que Facebook tiene mil millones de usuarios y cada segundo que hay un malware de este tipo en la base de datos de aplicaciones, muchas personas se ven afectadas.

5.1: “ADVERTENCIA DEL EQUIPO DE FACEBOOK” (desaparecida): análisis de aplicaciones maliciosas similares en el contexto de la anterior.

5.2: Antecedentes . Este malware malicioso fue eliminado de la base de datos de aplicaciones de Facebook, pero estuvo activo el año pasado. Esto no significa que aplicaciones maliciosas similares no circulen en el directorio de Facebook en este momento. Si tiene conocimientos de seguridad, notará inmediatamente que dicha advertencia no puede provenir del equipo de Facebook, ya que está dispersa en su lista de amigos.

Una vez que sentiste curiosidad y abriste la notificación de solicitud que te envió uno de tus amigos, la aplicación te habría llevado a su índice donde se te informaría además que debes verificar tu cuenta de Facebook, de lo contrario se cancelaría. Esta advertencia puede haber causado una sensación de urgencia para actuar en muchos, haciéndolos aceptar cualquier cosa que la aplicación les solicitara.

De este modo, no sólo le darían su información básica, acceso a su información de perfil y fotos, sino que también le permitirían publicar en su nombre (actualizaciones de estado, fotos, etc.). De esta forma, la aplicación habría tenido control sobre un número cada vez mayor de personas. Existen aplicaciones maliciosas similares y tienen los mismos objetivos, pero simplemente están envueltos en un mensaje diferente.

5.3: Propósito de aplicaciones maliciosas similares . El propósito de esta (ahora desaparecida) y aplicaciones maliciosas similares que circulan por el directorio de Facebook es 3) y 5) , o 1) (para aplicaciones similares) de la Introducción. Es decir, hacerse pasar por usted y utilizar su cuenta de Facebook para ampliar el alcance de sus víctimas y llevar a cada víctima a una página que afirma que debe completar una encuesta para poder continuar: las llamadas estafas de encuestas que, si se completan , proporcionar ganancias materiales u otras aplicaciones similares pueden tener la intención de obtener información confidencial para los piratas informáticos.

5.4: Tratamiento. Los métodos de tratamiento varían: puede buscar en Google u otros motores de búsqueda una aplicación que sospeche que es maliciosa y verificar si hay informes que afirmen que es maliciosa o una estafa, si lo es; entonces definitivamente alguien escribió sobre ello. También puedes preguntarle al amigo que envió el mensaje si la aplicación le funcionó o si resultó ser maliciosa. Lo más importante es confiar sólo en las aplicaciones de desarrolladores/creadores confiables. Esto le ayudará a evitar dar permisos a aplicaciones no autorizadas. También es útil poder deducir de los mensajes, el contexto y las ideas presentadas de la aplicación el grado de fiabilidad y credibilidad.

5.5: Tratamiento post-infección . Suponiendo que haya instalado una aplicación similar, debe estar seguro de que está distribuyendo spam a su muro, línea de tiempo y amigos, por lo que debe eliminar todos los rastros de sus mensajes, incluidas las referencias a ella en las noticias o en el perfil. A continuación, debes poner fin a su control sobre tu Facebook. Esto se hace haciendo clic en el triángulo hacia abajo en Facebook, Configuración de cuenta y luego haciendo clic en Aplicaciones.

Después de haber ingresado, simplemente elija las que sean maliciosas, elimínelas y bloquéelas de la lista de aplicaciones que ha autorizado para interactuar con su Facebook. Además, no olvide señalar a Facebook por esta mala conducta ingresando a la ventana de la aplicación y haciendo clic en el enlace “Informar/Contactar con esta aplicación”.

5.6: Contexto adicional . Un ejemplo de una aplicación maliciosa similar es Profile Viewer, que tenía el mismo propósito que la falsa advertencia del equipo de Facebook. Específicamente, afirma que hace o muestra algo que no hace ni muestra (que puedes ver quién vio tu perfil y cuándo) para que puedas otorgar permisos a la aplicación, que usará en tu detrimento. Además, también es una estafa de encuestas, ya que requiere que complete una encuesta antes de “continuar”.

Tenga en cuenta que todas las aplicaciones que afirman rastrear las vistas de su perfil son falsas, ya que los desarrolladores no pueden acceder a la información necesaria para crear aplicaciones de “Visor de perfiles”. Esto significa que se debe tener mucho cuidado cuando una aplicación afirma agregar nuevas funciones a la plataforma de Facebook, como un visor de perfil o un botón de No me gusta, ya que lo más probable es que dichas aplicaciones sean falsas y contengan malware.

Además, tenga en cuenta que, dado que Facebook tiene alrededor de mil millones de usuarios, cada vez más personas intentarán lograr sus propios fines engañando a la gente, por lo que se debe ser cauteloso y estar atento a los detalles para diferenciar entre aplicaciones falsas y reales. La demanda de la aplicación maliciosa seguramente provendrá de alguna noción, idea, persona o evento popular. Lo demuestra el hecho de que numerosas encuestas fraudulentas tuvieron “éxito” al afirmar que mostraban la desaparición de Osama Bin Laden, Whitney Houston o Lady Gaga.

Finalmente, no debes dar tu cuenta de Facebook y contraseña a sitios web de terceros, no debes hacer clic en una notificación (por ejemplo, que alguien te etiquetó en una foto) que parezca ilegítima, sino que debes abrirla tú mismo desde tu perfil ( si la notificación es real) y, por último, para evitar correos fraudulentos que simulan provenir del propio equipo de Facebook, ten en cuenta que el equipo de Facebook nunca te pedirá tu contraseña por correo electrónico y que los correos legítimos de Facebook suelen empezar con “actualizar”. ” en lugar de “notificación”.

6. Conclusión .

Se puede concluir que el malware ha penetrado hasta cierto punto en la comunidad de Facebook. Hay varias razones (he enumerado 6 en la Introducción) por las que se crea malware. Estos malware adoptan diversas formas, ya sean aplicaciones o archivos ejecutables que ni siquiera notarás cuando se instalan y que tienen efectos negativos en tu dispositivo. Para combatir eficazmente el malware de Facebook se debe:

¡Conviértete en un ingeniero inverso certificado!

Obtenga capacitación práctica en vivo sobre análisis de malware desde cualquier lugar y conviértase en un analista certificado de ingeniería inversa. Comienza a aprender

Referencias:

  1. Rob Waugh, ‘Cuidado con el nuevo virus informático que se propaga a través de la ventana de mensajes de chat en Facebook’, 21 de mayo de. Disponible en: http://www.dailymail.co.uk/sciencetech/article-2147486/Facebook-instant-messaging-window -used-spread-virus.html (Consultado el 02/01/)
  2. Island Crisis (IC), ‘Steckt.Evl: nuevo virus de Facebook que se propaga a través del chat’. Disponible en: http://www.islandcrisis.net/steckt-evl-new-facebook-virus/ (Consultado el 02/01/)
  3. Cris Pantanilla, ‘Worm Spreads via Facebook Private Messages, Instant Messengers’, 17 de mayo de. Disponible en: http://blog.trendmicro.com/trendlabs-security-intelligence/worm-spreads-via-facebook-private-messages- mensajería instantánea/ (Consultado el 02/01/)
  4. Joshua Long, ‘Cómo obtener una vista previa de URL abreviadas (TinyURL, bit.ly, is.gd y más)’, 11 de abril de. Disponible en: http://security.thejoshmeister.com//04/how-to- vista previa-acortada-urls-tinyurl.html (Consultado el 02/01/)
  5. Rik Ferguson, ‘New Variant of Koobface Worm Spreading on Facebook’, 1 de marzo de. Disponible en: http://blog.trendmicro.com/trendlabs-security-intelligence/new-variant-of-koobface-worm-spreading-on -facebook/ (Consultado el 02/01/)
  6. Centro de ayuda de Facebook, ‘Malware’. Disponible en: http://www.facebook.com/help/34818071511/ (Consultado el 02/01/)
  7. Michael Kwan, ‘Virus de Facebook’. Disponible en: http://socialnetworking.lovetoknow.com/Facebook_Viruses (Consultado el 02/02/)
  8. Enciclopedia de amenazas de Trend Micro, ‘WORM_STEKCT.EVL’. Disponible en: http://about-threats.trendmicro.com/us/malware/WORM_STEKCT.EVL (consultado el 02/02/)
  9. Umesh Wanve, ‘Malicious App Sends Bogus Facebook Warnings’, 6 de junio de. Disponible en: http://blogs.mcafee.com/mcafee-labs/malicious-app-sends-bogus-facebook-warnings (consultado el 02/02/)
  10. Facecrooks.com, ‘ADVERTENCIA: Anuncio del equipo de verificación FACEB00K. Todos los perfiles deben ser verificados: estafa de Facebook’, 26 de mayo de. Disponible en: http://facecrooks.com/Scam-Watch/warning-announcement-from-faceb00k-verification-team-all-profiles-must-be-verified -antes-del-1-de-junio–para-evitar-estafas-y-estafas-bajo-sopa-act-las-cuentas-no verificadas-se-terminarán-facebook-s.html (Consultado el 02/02/ )
  11. James Brack, ‘Cómo evitar virus en las redes sociales’, 24 de junio de. Disponible en: http://www.netlz.com/seo-blog//06/24/how-to-avoid-viruses-on- redes sociales/ (Consultado el 02/03/)
  12. Charlene Jimenez, ‘Detectando el furtivo virus de Facebook dando vueltas’, 31 de agosto de. Disponible en: http://agbeat.com/social-media/in-case-missed-it-theres-sneaky-facebook-virus-going- alrededor/ (Consultado el 02/03/)
  13. IAnewsletter, ‘Social Media Malware’, Vol.15,. Disponible en: http://iac.dtic.mil/csiac/download/Vol15_No2.pdf (consultado el 02/05/)