En los últimos meses se ha alertado respecto a la utilización de diversas redes sociales para propagar malware: Hi5, Facebook, Twitter, Myspace y el caso del gusano Koobface, también en Facebook. Dada esta tendencia, recientemente ESET la casa antivirus eslovaca del conocido antivirus NOD32 publico el artículo Utilizando redes sociales para propagar malware y un Video Educativo acerca de esta técnica de propagación de códigos maliciosos.

Linkedin, la red social para profesionales, también se vio afectada por la creación de falsos perfiles de usuario para propagar malware. Se ha detectado un crecimiento de dicha tendencia que consiste en crear un perfil público de un famoso con algún mensaje llamativo. Por lo general, se trata de famosas (y hermosas) mujeres supuestamente desnudas.

[IMG]http://i43.*******.com/2sb6dtl.png[/IMG]



En el falso perfil hay tres enlaces que llevan a un mismo sitio con contenido malicioso. Si se observa el código fuente de la página destino, se detecta un script ofuscado:

[IMG]http://i42.*******.com/2j11zwm.jpg[/IMG]



El script, direcciona aleatoriamente al usuario a variados dominios. Según el caso son diferentes los sitios a donde es direccionado el usuario. Hasta el momento se han detectado:

Sitios con falsos videos y descarga de malware

A través de falsos codecs, en su mayoría los archivos se tratan de troyanos del tipo Downloader, que descargan posteriormente rogue y rootkits en el equipo infectado.

[IMG]http://i40.*******.com/5fje3c.jpg[/IMG]




Sitios de rogue.

Específicamente se ha observado el falso explorador de Windows, informando al usuario sobre falsas amenazas detectadas en el equipo y ofreciendo la descarga de un archivo malicioso.

También se han descubierto enlaces a sitios con scripts maliciosos ofuscados y los enlaces están variando constantemente (por momentos cada pocos minutos) y en diversos perfiles.

Según la ocasión, el usuario corre el peligro de infectarse con variados códigos maliciosos. Algunas de las amenazas de mayor aparición, son detectadas por ESET NOD32 como Win32/Statik, JS/TrojanDownloader.Psyme y Win32/Rootkit.Podnuha. Sin embargo, al ser modificado frecuentemente, el malware detectado puede variar.

La cantidad de falsos perfiles creados y la variabilidad de los códigos maliciosos a la que se expone el usuario, hacen que sea importante considerar seriamente esta amenaza. Ya se han reportado a la red social el abuso por parte de las decenas de perfiles que se han detectado y muchos de ellos fueron dados de baja.

Lamentablemente, los perfiles públicos están indexados (y bien ubicados) en Google, aumentando el riesgo que un usuario llegue a estos sitios:

[IMG]http://i41.*******.com/iwje5w.png[/IMG]

Una vez más, se ha podido observar la ya confirmada tendencia de utilizar las redes sociales para propagar malware. Con diferentes técnicas de Ingeniería Social, los atacantes encuentran en las redes espacios con gran cantidad de usuarios, dispuestos a hacer click sin mucha precaución.

Fuente