News

¡No me gusta! – spam de ClickJacking / LikeJacking en Facebook

Cuando entré a Facebook esta mañana noté que muchos de mis amigos habían publicado en su muro un enlace a un video, en el que muchas personas habían puesto “me gusta”. El video era de una muchacha con un buen trasero, y tenía el título “Laura Frisian: ¡el mejor trasero del mundo!”. Era obvio que era falso porque era muy similar a otras estafas de Facebook, pero como tantos amigos míos lo habían visto, decidí verlo también.

De pronto me encontré en medio de un infierno de JavaScript, con códigos ofuscados y múltiples dominios. Parece que el servidor que se usa en esta estafa aloja alrededor de 300 páginas similares a la que yo vi. Todas son parecidas, pero tienen videos diferentes, por ejemplo:

 

  • Si te gusta Nutella, ¡¡¡nunca veas este video!!!
  • ¡¡Perforar un absceso en un diente! Asqueroso :s
  • ¡Compilación de situaciones y descubrimientos vergonzosos! Fotos, impresionante 😀
  • ¡Chico transexual de 10 años. Más feliz como chica!
  • ¡Un bebé gigantesco! Sorprendente, parece tan real 😀
  • ¡Avión de carreras se estrella entre los espectadores!
  • ¡Lo peor que le puede pasar a una chica!
  • Un pescador atrapa a una pareja mientras hacen… 😀

 

También se están cargando muchos JavaScripts, el siguiente es uno de los que identificamos, y todavía no está muy claro qué es lo que hace exactamente:

Pero la sinopsis de la estafa es muy simple: si pulsas en el enlace al video apareces en una página de carga, donde te expondrás a un intento de clickjacking/likejacking. Esto significa que, mientras tratas de ver este o cualquier otro video en la página, se comenzarán a publicar mensajes en tu muro de Facebook de forma automática. Para ello se necesita que hayas iniciado sesión en Facebook o que hayas estado en el sitio y tu cookie siga activa. Hay dos páginas de carga diferentes, una si estás conectado a Facebook y otra si no lo estás. Mira las capturas de pantalla de abajo:

Si no estás conectado a Facebook

Si estás conectado a Facebook

La página destino completa se ve así:

El código JavaScript está ofuscado y empaquetado, lo que complica todo el proceso de depuración, pero durante la investigación identifiqué varios dominios conectados con esta estafa. También parece que los estafadores utilizan desviadores para evitar que se agreguen sus dominios y URLs a listas de rechazados, y también hay muchas otras estafas en cada servidor.

Parece que el propósito de esta estafa es exponerte a publicidades y hacer que “te gusten” algunos anuncios de forma automática. Esto genera más tráfico y dinero para quienes están detrás de este ataque.

Por favor, si ves estos mensajes en Facebook, denúncialos como spam, esto ayudará a que el Equipo de Seguridad de Facebook solucione este problema mucho más rápido.

¡No me gusta! – spam de ClickJacking / LikeJacking en Facebook

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Dark Tequila Añejo

Dark Tequila es una compleja campaña maliciosa que tiene por objetivo a los usuarios ubicados en México, con el propósito principal de robar información financiera, así como credenciales de acceso a sitios populares que van desde versionado de código fuente a cuentas de almacenamiento de archivos en línea y de registro de dominios web.

De Shamoon a StoneDrill

A partir de noviembre de 2016, Kaspersky Lab observó una nueva ola de ataques de wipers dirigidos a múltiples objetivos en el Medio Oriente. El programa malicioso utilizado en los nuevos ataques era una variante del conocido Shamoon, un gusano que tenía como objetivo a Saudi Aramco y Rasgas en 2012.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada