Si bien se hace pasar por una aplicación, realmente no lo es. Es un engaño, y no es tan simple de detectar. La mayoría de los usuarios no le presta atención a la «imagen» que simula ser una aplicación y cuando le dan «permitir» (o cancelar), el sistema les descarga una extensión a su navegador web, lo que automáticamente desencadena SPAM (publicidad no deseada) por todos los muros que el usuario esté visitando en ese momento (y se estima que el intervalo de publicación es cada 10 minutos; QUIZÁS y me atraería a decir que esto lo han programado así para evitar que Facebook detecte los usuarios que hacen spam y los bloquee).
El tema es que gracias a un buen usuario de MasFB quien nos avisó, ahora estamos compartiendo con todos este fraude, engaño, y/o gusano que se arrastra por Facebook. Inmediatamente después de la publicación de este artículo, se dará aviso a los servicios mencionados que son quienes «alojan» los códigos maliciosos, y de esa forma mediremos también la reacción (y seriedad) de dichos servicios.
Dropbox.com nos informó que ha dado de baja la amenaza alojada en sus servidores.
Webhost.com, no nos creyó y nos pidió más «evidencias». Sigue la conversación aquí.
Webhost.com, no nos creyó y nos pidió más «evidencias». Sigue la conversación aquí.
Cómo se expande
Todo esto comienza con este mensaje que llegará a vuestra sección de inicio en Facebook, y que pertenece a un mensaje que supuestamente tu amiga/o ha publicado en su muro de esta forma:
Así, a simple vista parece normal. Dice «Descubre tu amor verdadero» y nos pasa un enlace a una página de Facebook: _ttps://www.facebook.com/pages/MarkBook/168054513317828?sk=app_190322544333196
Cuando ingresamos a esa página, por supuesto nos va a venir con el cuento de que debemos darle «me gusta» a la página para ver el contenido (típico comportamiento de las páginas de ahora).
Como veremos, para este análisis le dimos «me gusta». Y ocurre que la página nos mostrará a continuación una imagen que simula ser una aplicación de Facebook pidiendo permisos para acceder a nuestros datos privados.
La aplicación dirá llamarse «Descubre el amor de tu vida» y nos solicitará información para nuestra «información básica» y nuestro «correo electrónico».
Parece una aplicación inofensiva a simple vista., pero cuando quise modificar la opción de «Amigos» o «Reportar la aplicación» nos dimos cuenta de algo muy extraño: NO SE PUEDE. ¿Por qué? Pues bien, a simple vista no se nota., pero todo es una imagen. TODO lo que vemos es una imagen!!!
Lo analicemos mejor:
Ahora pasemos al tema de los botones «ir a la aplicación» o «cancelar».
Cuando hacemos clic en cualquiera de los dos, se ejecuta un código que nos pedirá descargar una extensión para Chrome o Firefox (dependiendo de qué navegador web usemos).
Pueden observar el código aquí:
En fin, si llegamos a ese punto, se descargará una extensión como cualquier extensión y el navegador web nos solicitará permisos para ejecutar dicha extensión. En el momento que hacemos eso, se ejecutará un nuevo código malicioso que hará SPAM en nuestro Facebook, invitando a otros amigos a que repitan exactamente los pasos que hemos repetido nosotros (es decir, darle me gusta a esta página, y descargar el virus), la cadena se repite, el virus vuelve a expandirse… y así sucesivamente hasta que algún antivirus detecte y de de baja los siguientes scripts:
Si caí en el engaño, ¿ qué hago ?
- Debes revisar tus extensiones del navegador y encontrarás la extensión «rara» que ejecuta el script que hace SPAM. Debes eliminarla.
- Debes ir a la página que expande este virus/gusano/fraude: https://www.facebook.com/pages/MarkBook/168054513317828 darle «Ya no me gusta» y denunciarla (reportarla) como correo no deseado o fraude.
- Si queda alguna duda, puedes ir a nuestro MURO en Facebook y preguntarnos, estamos para ayudar e informar.
Sitios web involucrados:
- DropBox (http://www.dropbox.com)
- http://faacee.comze.com/dinheiro/
Y Facebook.com es damnificado, por supuesto.
A fines educativos, he tomado el script que ejecuta, si alguien lo desea para analisis de contra-seguridad, puede contactarme por email, y se los comunicaré sin problema.
Más análisis:
Aprovecho la oportunidad para compartir el análisis que realizó Angel Maya:
Y esto es todo por el momento.
Saludos!
El proveedor (host) de la URL: http://faacee.comze.com/dinheiro/ en donde alojan las extensiones maliciosas es http://www.000webhost.com/ con ellos hay que hacer tambien el reporte.
Hola amigo, ya le he enviado el reporte a WebHost.com
Seguí el reporte aquí: http://members.000webhost.com/tickets.php?ticket_hash=NR7NXkTM5NAJxVnK
Gracias.
Ahhh y otra actualización, me respondieron desde Dropbox.com, que ya eliminaron al usuario con todos los archivos de código malicioso 🙂
Saludos!
Atención: sale versión en portugués:
Descubra seu verdadeiro AMOR! _ttp://www.facebook.com/pages/3/174644469325766?sk=app_190322544333196
Script de expansión: http://medonho.net/cupido/scripts/oi2.js
Extensiones: http://medonho.net/app/cupido/
Saludos
Fuck, confirmo que desde el sitio han vuelto a reactivar el gusano y han subido archivos nuevos a los servidores de DropBox.com 🙁
Saludos
como hago para q en mi biografía no salga nada d mi lista de amigos he mirado q en otros sólo sale el mapa ayuda xf
Mariana, lee tu comentario. Ahora lee dónde lo has publicado, pq tu consulta no tiene NADA que ver con el artículo. Por favor, ve a nuestro foro de ayuda, así te ayudamos ahí.
Saludos