Al momento de escribir esto se podía ver muchos perfiles de usuarios portugueses/brasileros infectados.
El mensaje que se puede ver en Facebook es el siguiente:
El mensaje que se podía ver en Twitter (ya fue bloqueado) es el siguiente:Best video: http://jus[ELIMINADO].ru/?video_id=24431
Como puede, en ambos casos se redirige al usuario a un sitio ruso, desde donde se puede descargar un gusano que roba credenciales de ambos servicios, para luego continuar la propagación de sí mismo a través del perfil correspondiente a ese usuario.Es decir que se utiliza al usuario y se lo transforma en un spammer involuntario, motivo por el cual algunas cuentas de Twitter han sido bloqueadas temporalmente y serán devueltas cuando el problema finalice.
La página contenía el siguiente video, ya clausurado por YouTube:
Además en el código fuente, se podía ver el siguiente iframe, desde posiblemente se descargaba el malware.
Es obvio que mientras el usuario miraba el video, además se descargaba una nueva página "invisible" que infectaba al usuario. En el momento de escribir el presente, dicha página no se encuentra disponible.La forma de funcionamiento y el comportamiento del gusano me hace suponer que se trata de una variante de Koobface, similar a la reportada hace meses aquí mismo y del cual se puede conocer más aquí.
Actualización 20:45: el iframe ya no aparece en la página mencionada, lo que indica que están actualizando la misma y podría cambiarse el código para intentar otro ataque.
Actualización 21:oo: probando la funcionalidad de Facebook que permite redirigir a los usuarios a través de un comando como el siguiente: http://www.facebook.com/l/;http://www.segu-info.com.ar/, no termino de entender el motivo de la existencia de la misma.
fuente: Segu-Info
No hay comentarios:
Publicar un comentario