Campaña Spam en Facebook y LinkedIn sirven el Ransomware Locky



Una campaña spam continua usando archivos de imagen robadas para descargar e infectar a los usuarios con el ransomware Locky, informó la firma de seguridad israelí Check Point.

La firma de seguridad dice que los autores del malware han identificado vulnerabilidades en las redes sociales de Facebook y LinkedIn que descargan por la fuerza un archivo de imagen en el ordenador del usuario, pero en algunos casos, el usuario tenía que hacer clic sobre la imagen para descargarlo.

Los autores de malware están difundiendo archivos de imágenes maliciosas a través de estas dos plataformas. Cuando los usuarios detectan la descarga automática, si acceden a la imagen manipulada, el código malicioso instalará el ransomware Locky en sus equipos.

Vulnerabilidades en Facebook y Linked siguen sin repararse


Check Point se ha negado a proporcionar detalles técnicos en el momento de la redacción porque tanto Facebook como LinkedIn no han solucionado la vulnerabilidad explotada por los atacantes. La compañía dijo que reportó el problema en septiembre.

La compañía ha advertido a los usuarios sobre la apertura de lo que parece ser una imagen de archivos con extensiones inusuales, como SVG, JS o HTA.

Esto nos hace creer que los spammers están usando extensiones dobles para ocultar la verdadera naturaleza del archivo. De forma predeterminada, Windows oculta la extensión de un archivo. Así que cuando ves un archivo como image.jpg, puede estar ocultando una segunda extensión, como image.jpg.hta o image.jpg.js.

Las extensiones de archivo que mencionó Check Point, SVG, JS y HTA, tienen la capacidad de descargar contenido desde un servidor en línea y ejecutarlo.

El grupo criminal detrás del ransomware Locky ha utilizado archivos JS y HTA para instalar su malware en el pasado, aunque a través de archivos adjuntos que llegaron desde correos electrónicos no deseados, pero no de redes sociales.

Podría estar relacionado con otra campaña spam de Facebook que se informó el lunes

Esta campaña parece estar relacionada con una vulnerabilidad en Facebook DM descubierta por el investigador de seguridad Bart Blaze el día lunes.

Blaze informó que los delincuentes estaban utilizando Facebook para propagarse alrededor de un archivo SVG malicioso que incluía código malicioso JavaScript que descargaba el malware Nemucod y luego el ransomware Locky.

Por el momento, puede ser seguro evitar abrir cualquier archivo no solicitado que reciba a través de mensajes privados en Facebook o LinkedIn, o archivos que misteriosamente se descarguen a su PC.