Sin categoría

Los amigos no permiten que sus amigos descarguen malware

(Tomado y Adaptado de WatchGuard Secplicity)

La semana pasada, un usuario del sitio de preguntas y respuestas Stack Exchange, pidió ayuda para identificar el malware que encontró distribuido a través de Facebook. Dijo que recibió una notificación en Facebook, informándole que uno de sus amigos lo había etiquetado en un comentario en el sitio. Cuando el usuario hizo click en el enlace de la notificación, el navegador descargó automáticamente un archivo JavaScript malicioso. Un análisis rápido del JavaScript mostró que cuando era ejecutado, actuaba como un gestor de descarga y ejecutaba el malware.

Amigos no descargan malware

Otro usuario proporcionó un análisis más detallado del archivo JavaScript malicioso. Este usuario encontró que el JavaScript descargó e instaló una extensión de Chrome, el ejecutable AutoIt de Windows y algunos scripts maliciosos de AutoIt. El malware probablemente creó sus mensajes de Facebook contaminados utilizando esta extensión de Chrome para seguir infectando a otros ordenadores.

Aparte de la extensión de Chrome, el cargador del JavaScript también incluye funciones para descargar las secuencias de comandos ejecutables AutoIt y varios scripts AutoIt. AutoIt es un (generalmente legítimo) lenguaje de programación diseñado para ayudar a los administradores a configurar fácilmente un gran número de equipos Windows. En el caso de este malware, los chicos malos estaban usando secuencias de comandos AutoIt para llevar a cabo comportamientos parecidos a los de un ransomware. Los scripts fueron alojados en un sitio web comprometido, disfrazados con extensiones .jpg para aparecer como archivos normales de imágenes sin una inspección más profunda.

Afortunadamente, a pesar que el navegador del usuario descargó automáticamente el código JavaScript malicioso después de visitar el vínculo de notificación, su navegador no ejecutó de forma automática el código. Al parecer el autor del malware delegó en los usuarios que iniciaran el código JavaScript ellos mismos, por lo que esto disminuiría en gran medida el éxito de este ataque.

En cualquier caso, este incidente es un gran ejemplo de por qué nunca debería ejecutar aplicaciones no solicitadas a través de Internet. Si su navegador descarga un archivo después de hacer click en una notificación de Facebook, esto se debería tomar como una alerta roja, ya que este podría ser un archivo malicioso. El usuario de Stack Exchange hizo lo correcto al investigar el archivo primero y luego pedir ayuda a los expertos.

Usted también debería mantener su navegador y todas sus extensiones totalmente actualizadas con los últimos parches. Si bien el método de entrega de este ataque era relativamente poco sofisticado, este no siempre es el caso. Un atacante más motivado pudo haber tratado de explotar las vulnerabilidades conocidas del navegador para auto ejecutar el malware y comprometer el equipo del que podría ser la víctima antes de que supiera que fue atacado.

(Créditos Marc Laliberte)

Publicado por AltermediosMSS

AltermediosMSS es una empresa dedicada a los servicios de seguridad y redes IT. Proveemos consultoría, soporte y entrenamiento de todas las soluciones que distribuimos. Somos Gold Partner de WatchGuard Technologies, Silver Partner de SECPOINT, MSP Partner y Distribuidot de EMSISOFT, Microsoft CSP Partner, SAFEDNS Distributor y Reseller de Paessler PRTG, entre algunas de las soluciones que distribuímos. Si requieres de Monitoreo, Antivirus, Firewalls, UTM, Cloud Server, Cloud Security, somos tu solución. Estamos presentes en Colombia, Panamá, Perú y Venezuela.