Si bien las estafas y timos en Facebook y otras plataformas similares no son nada nuevo y de que campañas como la que aprovechaba el drama “Brangelina” para robar nuestros datos se encuentran a la orden del día; lo cierto es que varias vulnerabilidades detectadas por la firma de seguridad israelí Check Point nos han obligado a retomar el asunto.
En concreto se trata de un problema que afecta tanto a la red social de Facebook como a la comunidad de contactos profesionales LinkedIn y que está siendo explotado por los ciberdelincuentes para tratar de infectarnos del ransomware Locky partiendo de una imagen. Un bug que todavía no ha sido solucionado por parte de ninguna de ellas.
En qué consisten las vulnerabilidades
La empresa de seguridad apunta que los ciberdelincuentes aprovechan estas vulnerabilidades para descargar automáticamente en el ordenador de la víctima un archivo de imagen infectado. En algunos casos el usuario debe hacer clic sobre la misma –en el caso de Facebook ubicada a la derecha, justo arriba de la pestaña de contactos en la versión web-. Cuando el sujeto intente abrir la imagen, se instalará el malware Locky.
En concreto, se trata de un virus criptográfico que secuestra los equipos. Su objetivo es cifrar los archivos de la víctima para después exigir un rescate. Algo que conseguirá creando un archivo BAT y otro más con código VBScript para descargar la amenaza principal. Un malware que, por cierto, se está extendiendo como una auténtica lacra por Europa.
Check Point, no obstante, no ha querido dar más detalles técnicos al respecto, pues ambas compañías no han solucionado todavía estas vulnerabilidades. La compañía comenta también que ya los avisó en septiembre. En todo caso, avisa a los usuarios del peligro de abrir lo que se asemeja a un archivo de imagen con extensiones poco usuales como: SVG, JS o HTA. Estas permiten descargar contenido desde un servidor online y ejecutarlo y se encuentran camufladas, de manera que el usuario no las ve.
Curiosamente, el grupo que se encargó de crear el ransomware Locky ya las empleaba para instalarlo en el pasado, aunque lo hacía a través del correo electrónico en lugar de las redes sociales. Para acabar, parece que esta campaña está relacionada con otra descubierta por la empresa de seguridad Bart Blaze el lunes y que, en lugar de con Locky, infecta con Nemucod.
De momento y para protegernos, podemos tomar una serie de medidas concretas: si ya has hecho clic en una imagen y tu navegador ya he empezado a descargarla, no la abras. Y en general, evita abrir cualquiera con una extensión poco usual.Presta atención también a la información que te da Windows sobre cada extensión y activa la visualización de extensiones comunes.
Vía | Bleeping Computer
En Genbeta | Una nueva oleada de Locky: el ransomware vuelve a los archivos .docm para difundirse
Ver 8 comentarios