Usuarios de Facebook atacados por un nuevo gusano

Algunos usuarios de Facebook han sido infectados por un gusano tras haber pinchado en una imagen de una mujer ligera de ropa que en realidad redirige a estas víctimas a una página Web de pornografía.

Es lo que afirman diferentes investigadores de seguridad, quienes explican que el gusano envía a los muros de los usuarios de Facebook una foto de una mujer en bikini con un mensaje que les anima a pinchar en ella. Estos mensajes en el muro pueden verlos también los amigos del usuario de Facebook.

Si un amigo también hace clic en la imagen y estaba conectado a Facebook, esa imagen es enviada a su propio muro. En ese momento, el navegador Web abre una página en Internet con una imagen más grande de esa foto. Un nuevo clic en ella redirige al amigo hasta una página Web pornográfica. Es lo que ha explicado Roger Thompson, responsable de investigación del fabricante de soluciones antivirus AVG Technologies, que ha publicado un vídeo sobre este mismo ataque en su blog. Todo parece indicar que los creadores del gusano están haciendo dinero al conseguir más visitas en esta página Web pornográfica, indica Nick FitzGerald, analista de amenazas de AVG.

Eso sí, estos investigadores no están del todo seguros del funcionamiento del gusano, pero creen que podría tratarse de un ataque CSFR (cross-site request forgery attack), un ataque clickjacking o incluso una mezcla de ambos.

Un ataque CSRF se produce cuando las credenciales de una víctima se utilizan para realizar algún tipo de acción sin su conocimiento. En ese caso, el atacante envía fraudulentamente la imagen al muro de Facebook de la víctima, aprovechándose del hecho de que la víctima esté conectada a su propia cuenta.

Otra posibilidad es el clickjacking. En este caso, los atacantes utilizan una programación Web especial para engañar a las víctimas para que hagan clic en botones Web sin ni tan siquiera darse cuenta de ello. Esta opción, el clickjacking, es posible debido a una característica de diseño fundamental en HTML que permite a las páginas Web embeber contenido desde otros sitios en Internet. Los navegadores Web son muy vulnerables a los ataques de clickjacking, aunque también es cierto que sus desarrolladores están trabajando en mejorar sus mecanismos de defensa frente a ellos.

Facebook ha clasificado el ataque como clickjacking, es decir, como uno “no específico de Facebook” y también han declarado que no lo consideran un gusano. Sin embargo, han aclarado que han tomado “medidas para bloquear la URL asociada a esta página y estamos limpiando los relativamente pocos casos en los que se publicó”. Aún así, desde Facebook han querido aclarar que “un porcentaje extremadamente pequeño de usuarios se han visto afectados”. Si el gusano se extiende como un ataque de clickjacking, “sería difícil para Facebook devolver la confianza” a sus usuarios.

Desde Facebook han aconsejado a sus miembros que no pinchen en direcciones Web sospechosas. Sin embargo, en este caso, el link no parece sospechoso, debido a la variedad de publicaciones que aparecen en los muros de los usuarios de esta red social.

De hecho, un investigador de seguridad volvió a publicar la imagen sospechosa sin darse cuenta. “Esto muestra que incluso los expertos pueden ser displicentes y confiar en sistemas de los que no deberían fiarse”, ha declarado Gadi Evron, un investigador de seguridad independiente en el blog Dark Reading.