Malware en Facebook Messenger

La historia sobre una gran campaña maliciosa llevada a cabo en Facebook Messenger (y cómo funcionó).

Hace algún tiempo, un experto de nuestro equipo GReAT, David Jacoby, descubrió un malware multiplataforma que se distribuía mediante Facebook Messenger. Hace unos años, sucedían brotes de este tipo a menudo, pero no ha habido ninguno reciente porque Facebook ha trabajado mucho para prevenir ataques similares.

Primero se publicó un informe preliminar. En aquel momento, Jacoby no tenía tiempo suficiente para investigar muchos detalles sobre cómo operaba el malware, pero ahora sí y estamos preparados para compartirlo. Desde la perspectiva del usuario, así es cómo se desarrolló la infección.

  • El usuario recibía un mensaje de un amigo en Facebook Messenger que contenía la palabra “Video”, el nombre del remitente, un emoticono al azar y un pequeño enlace. Puede que fuera así, por ejemplo:

  • El enlace redirigía a Google Drive y, ahí, el usuario veía algo parecido a un reproductor de video con una imagen del remitente original de fondo y lo que parecía un botón de play.
  • Si la víctima intentaba reproducir el “video” en Google Chrome, era redirigido a una página que se parecía a la de YouTube y que ofrecía instalar una aplicación para Chrome.
  • Si el usuario aceptaba la instalación, la extensión empezaba a enviar enlaces maliciosos a sus amigos (y todo seguía el mismo algoritmo con cada uno).
  • A los usuarios de otros navegadores se les pedía continuamente que actualizaran Adobe Flash Player en lugar ofrecerles la extensión. El archivo que descargaban era adware y los malos usaban anuncios para ganar dinero.

Jacoby, junto con Frans Rosen, un investigador con el que ha trabajado en el proyecto “Hunting bugs for humanity” (es español: A la caza de bugs por la humanidad), han analizado esta campaña maliciosa y han descubierto cómo funciona.

La página a la que los usuarios eran redirigidos tras hacer click en el enlace de Facebook Messenger era un archivo PDF que se había publicado en Google Drive y se abría como previsualización. El archivo contenía la imagen de la página de Facebook de un usuario (cuya identidad se había usado para difundir el malware), un icono para reproducir el vídeo sobre la imagen y el enlace que la víctima abría al intentar hacer click en el botón de play.

Al hacer click, los amigos de la víctima llegaban a esta página.

El enlace causó muchos redireccionamientos y el usuario terminaba en una de muchas páginas web. Las víctimas que usaban un navegador diferente a Google Chrome terminaban en una web que ofrecía la descarga de adware disfrazado de actualización para Adobe Flash Player.

A los que usaran otro navegador que no fuera Google Chrome se les ofrecía la descarga de adware disfrazado de Adobe Flash Player.

En el caso de Chrome, no era más que el principio: si la víctima aceptaba la instalación de la extensión que se ofrecía en la página, empezaba la monitorización de las webs que abría el usuario. En cuanto el usuario navegaba por Facebook, la extensión robaba sus credenciales y los tokens de acceso para enviarlos al servidor del delincuente.

Una página falsa de YouTube ofrecía la instalación de extensiones para Google Chrome.

Los malos encontraron un fallo interesante en Facebook. Al parecer, la no segura página de Referencia del lenguaje de consultas de Facebook (FQL por sus siglas en inglés), deshabilitada hace un año, no se había eliminado por completo; se había bloqueado a las aplicaciones, pero con algunas excepciones. Por ejemplo, el Administrador de páginas de Facebook, una aplicación para macOS, sigue usando FQL, por lo que, para obtener el acceso a la característica “cerrada”, el malware tan solo ha de actuar en nombre de la aplicación.

Al usar las credenciales robadas y al acceder a la obsoleta característica de Facebook, los malos podían pedir que la red social les enviara la lista de contactos de la víctima, eliminar a los que no estaban conectados y seleccionar al azar a 50 víctimas nuevas. Luego, a esos usuarios se les enviaba mensajes basura con un nuevo enlace a Google Drive con un archivo PDF generado con la imagen de la persona en cuyo nombre empezaba la nueva cadena de mensajes. En resumen, un círculo vicioso.

Cabe destacar que, entre otras cosas, al script malicioso le “gustaba” una página de Facebook en particular, al parecer para recopilar las estadísticas de la infección. Durante el ataque, Jacoby y Rosen observaron que los malos cambiaron varias de las páginas específicas, posiblemente porque Facebook cerró las anteriores. A juzgar por el número de “me gustas”, había miles de víctimas.

Una de las páginas que “gustaba” a los usuarios infectados.

Sus análisis del código revelaron que los delincuentes planeaban usar mensajes localizados, pero luego cambiaron de opinión y recurrieron al corto y simple “vídeo”. El código de la localización demostró que los usuarios de varios países europeos como Turquía, Italia, Alemania, Portugal, Francia (también la parte francófona de Canadá), Polonia, Grecia, Suecia y todos los países con usuarios de habla inglesa.

El esfuerzo mutuo de varias empresas ha puesto, por ahora, fin a la propagación de la infección. No obstante, esta historia ejemplifica que las extensiones para los navegadores no son tan inofensivas como parece. Para estar a salvo, y no ser una víctima de campañas maliciosas similares, evita la instalación de extensiones si no tienes la absoluta certeza de que son seguras, de que no te robarán los datos y de que no rastrearán tus actividades en la red.

Además, hacer click en todos los enlaces, incluso en los que parecen ser de alguien que conoces está fuera de discusión. Siempre hay que asegurarse de que es tu amigo quien te envía algo, no algún delincuente que controla la cuenta de tu amigo.

Consejos