En abril de este año en el territorio de Rusia registramos ataques masivos contra los usuarios de Facebook, que convirtió a numerosos usuarios de habla rusa de la red social en víctimas de estafadores. Casi seis meses después, los estafadores volvieron a usar este mismo esquema para atacar a la audiencia europea de Facebook.
Los atacantes, desde una cuenta de Facebook hackeada, hicieron una publicación con enlaces a videos para adultos, que supuestamente estaban en el popular servicio YouTube. Para atraer la atención de posibles víctimas, en la publicación sobre este video se etiquetaba a los usuarios de la lista de amigos de la cuenta comprometida. El cálculo era aprovecharse de la curiosidad de los usuarios etiquetados y sus amigos que también quisieran ver el misterioso video marcado como “18+”.
Al hacer clic en el enlace se abre una página con el mismo diseño de YouTube.
Pero basta una mirada a la barra para entender que no tiene nada que ver con este servicio. Durante la última gran ola del ataque, los delincuentes distribuyeron un “video” situado en el dominio xic.graphics. Actualmente dominio no está disponible, pero los mismos datos se usaron para registrar 140 dominios más, que se pueden utilizar para propósitos similares.
Cuando se intenta ejecutar el video, aparece un banner que propone instalar una extensión en el navegador. En este ejemplo, se llamaba “Profesjonalny Asystent”, pero también encontramos otros nombres.
En los detalles de la aplicación se afirma que si no instala esta extensión, no se podrá ver el vídeo.
Los atacantes cuentan con la víctima, picada por la curiosidad, no entrará en detalles y simplemente dará su consentimiento a la instalación. Como resultado, la extensión adquiere acceso de lectura a todos los datos en el navegador, lo que puede permitirá a los defraudadores obtener las contraseñas, inicios de sesión, datos de tarjeta de crédito y otra información sensible que introduzca el usuario. Como si esto fuera poco, más adelante la extensión puede continuar difundiendo los enlaces en Facebook, pero ya en el nombre del usuario y entre sus amigos.
Le recomendamos que en ningún caso siga estos enlaces y no instale extensiones sospechosas en su navegador. Y también que compruebe no tiene instalada alguna extensión sospechosa. Si la descubre, debe eliminarla de inmediato en la configuración de su navegador y cambiar las contraseñas de los sitios en que está registrado y sobre todo, de sus sistemas de banca en línea.
Videos “adultos” para los usuarios de Facebook