![\"\"](\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/88\/2017\/09\/04175854\/facebook-messenger-malware-featured-1024x673.jpg\")
<\/p>\nHace alg\u00fan tiempo, un experto de nuestro equipo GReAT, David Jacoby, descubri\u00f3 un malware<\/i> multiplataforma que se distribu\u00eda mediante Facebook Messenger. Hace unos a\u00f1os, suced\u00edan brotes de este tipo a menudo, pero no ha habido ninguno reciente porque Facebook ha trabajado mucho para prevenir ataques similares.<\/p>\n
<\/p>\n
Primero se public\u00f3 un informe preliminar<\/a>. En aquel momento, Jacoby no ten\u00eda tiempo suficiente para investigar muchos detalles sobre c\u00f3mo operaba el malware<\/i>, pero ahora s\u00ed y estamos preparados para compartirlo<\/a>. Desde la perspectiva del usuario, as\u00ed es c\u00f3mo se desarroll\u00f3 la infecci\u00f3n.<\/p>\n Jacoby, junto con Frans Rosen, un investigador con el que ha trabajado en el proyecto \u201cHunting bugs for humanity<\/a>\u201d (es espa\u00f1ol: A la caza de bugs<\/i> por la humanidad), han analizado esta campa\u00f1a maliciosa y han descubierto c\u00f3mo funciona.<\/p>\n La p\u00e1gina a la que los usuarios eran redirigidos tras hacer click en el enlace de Facebook Messenger era un archivo PDF que se hab\u00eda publicado en Google Drive y se abr\u00eda como previsualizaci\u00f3n. El archivo conten\u00eda la imagen de la p\u00e1gina de Facebook de un usuario (cuya identidad se hab\u00eda usado para difundir el malware<\/i>), un icono para reproducir el v\u00eddeo sobre la imagen y el enlace que la v\u00edctima abr\u00eda al intentar hacer click en el bot\u00f3n de play.<\/p>\n Al hacer click, los amigos de la v\u00edctima llegaban a esta p\u00e1gina.<\/p><\/div>\n El enlace caus\u00f3 muchos redireccionamientos y el usuario terminaba en una de muchas p\u00e1ginas web. Las v\u00edctimas que usaban un navegador diferente a Google Chrome terminaban en una web que ofrec\u00eda la descarga de adware<\/i> disfrazado de actualizaci\u00f3n para Adobe Flash Player.<\/p>\n A los que usaran otro navegador que no fuera Google Chrome se les ofrec\u00eda la descarga de adware disfrazado de Adobe Flash Player.<\/p><\/div>\n En el caso de Chrome, no era m\u00e1s que el principio: si la v\u00edctima aceptaba la instalaci\u00f3n de la extensi\u00f3n que se ofrec\u00eda en la p\u00e1gina, empezaba la monitorizaci\u00f3n de las webs que abr\u00eda el usuario. En cuanto el usuario navegaba por Facebook, la extensi\u00f3n robaba sus credenciales y los tokens de acceso<\/a> para enviarlos al servidor del delincuente.<\/p>\n Una p\u00e1gina falsa de YouTube ofrec\u00eda la instalaci\u00f3n de extensiones para Google Chrome.<\/p><\/div>\n Los malos encontraron un fallo interesante en Facebook. Al parecer, la no segura p\u00e1gina de Referencia del lenguaje de consultas de Facebook (FQL por sus siglas en ingl\u00e9s), deshabilitada hace un a\u00f1o<\/a>, no se hab\u00eda eliminado por completo; se hab\u00eda bloqueado a las aplicaciones, pero con algunas excepciones. Por ejemplo, el Administrador de p\u00e1ginas de Facebook, una aplicaci\u00f3n para macOS, sigue usando FQL, por lo que, para obtener el acceso a la caracter\u00edstica \u201ccerrada\u201d, el malware<\/i> tan solo ha de actuar en nombre de la aplicaci\u00f3n.<\/p>\n Al usar las credenciales robadas y al acceder a la obsoleta caracter\u00edstica de Facebook, los malos pod\u00edan pedir que la red social les enviara la lista de contactos de la v\u00edctima, eliminar a los que no estaban conectados y seleccionar al azar a 50 v\u00edctimas nuevas. Luego, a esos usuarios se les enviaba mensajes basura con un nuevo enlace a Google Drive con un archivo PDF generado con la imagen de la persona en cuyo nombre empezaba la nueva cadena de mensajes. En resumen, un c\u00edrculo vicioso.<\/p>\n Cabe destacar que, entre otras cosas, al script malicioso le \u201cgustaba\u201d una p\u00e1gina de Facebook en particular, al parecer para recopilar las estad\u00edsticas de la infecci\u00f3n. Durante el ataque, Jacoby y Rosen observaron que los malos cambiaron varias de las p\u00e1ginas espec\u00edficas, posiblemente porque Facebook cerr\u00f3 las anteriores. A juzgar por el n\u00famero de \u201cme gustas\u201d, hab\u00eda miles de v\u00edctimas.<\/p>\n Una de las p\u00e1ginas que \u201cgustaba\u201d a los usuarios infectados.<\/p><\/div>\n Sus an\u00e1lisis del c\u00f3digo revelaron que los delincuentes planeaban usar mensajes localizados, pero luego cambiaron de opini\u00f3n y recurrieron al corto y simple \u201cv\u00eddeo\u201d. El c\u00f3digo de la localizaci\u00f3n<\/a> demostr\u00f3 que los usuarios de varios pa\u00edses europeos como Turqu\u00eda, Italia, Alemania, Portugal, Francia (tambi\u00e9n la parte franc\u00f3fona de Canad\u00e1), Polonia, Grecia, Suecia y todos los pa\u00edses con usuarios de habla inglesa.<\/p>\n El esfuerzo mutuo de varias empresas ha puesto, por ahora, fin a la propagaci\u00f3n de la infecci\u00f3n. No obstante, esta historia ejemplifica que las extensiones para los navegadores no son tan inofensivas como parece. Para estar a salvo, y no ser una v\u00edctima de campa\u00f1as maliciosas similares, evita la instalaci\u00f3n de extensiones si no tienes la absoluta certeza de que son seguras, de que no te robar\u00e1n los datos y de que no rastrear\u00e1n tus actividades en la red.<\/p>\n\n
![\"\"](\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/88\/2017\/09\/04180117\/malicious-link-screenshot.png\")
<\/p>\n\n
![\"\"](\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/88\/2017\/09\/04180227\/google-drive-pdf-1024x567.jpeg\")
![\"\"](\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/88\/2017\/09\/04180336\/flash-player-update-screenshot.jpg\")
![\"\"](\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/88\/2017\/09\/04180426\/fake-youtube-screenshot-1024x527.jpeg\")
![\"\"](\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/88\/2017\/09\/04180552\/beautiful-videos-screenshot-1024x343.png\")
![\"\"](\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/88\/2017\/09\/04180644\/cyberattacks_1280-270.png\")
<\/a><\/p>\n