Nunca es demasiado pronto para prepararse para el esperado día de San Valentín, o eso parece, incluso cuando se trata de ataques maliciosos. Así lo afirma Christopher Talampas, Analista de Fraudes de Trend Micro, quien ha informado de la existencia de una estafa en Facebook que aprovecha tan señalada y próxima ocasión para distribuir malware.

Talampas advierte que el ataque comienza con un inofensivo mensaje en el muro de los usuarios afectados,  y en el que se “invita a instalar un tema sobre San Valentín en su perfil de Facebook”.

Una vez que los usuarios hacen click en este post, son redireccionados a otra página en la que se les pide instalar dicho tema. Es importante señalar que este ataque sólo funciona, tal y como aquí se va a describir, sobre los buscadores Google Chrome y Mozilla Firefox.

Al pinchar en el botón de Instalar la página solicita la descarga del archivo malicioso, FacebookChrome.crx, que Trend Micro ha detectado como TROJ_FOOKBACE.A. Cuando éste se ejecuta, pone en marcha un script que es capaz de mostrar los anuncios de determinados sitios web.

También se auto instala en los navegadores de los usuarios bajo una extensión denominada Facebook Impovement | Facebook.com.
 
Una vez que esta extensión para el navegador está operativa, monitoriza las actividades de búsqueda de los usuarios y redirecciona sus páginas a otra de encuestas donde se les solicita el número de móvil. Los usuarios que acceden al post utilizando Internet Explorer (IE) son conducidos al mismo cuestionario, pero con la diferencia de que no se les pide descargar nada.

Después de un análisis más exhaustivo, Trend Micro ha descubierto que este ataque es mucho más efectivo si los usuarios utilizan Google Chrome o Mozilla Firefox. Al asemejarse con una descarga de una extensión legítima o autorizada requiere menos interacción del usuario que en aquellos casos en los que se opta por Internet Explorer (en cuyo caso el usuario es redirigido al cuestionario directamente). 

Con el foco del ataque, principalmente construido en torno al concepto de intentar ser una extensión válida de Chrome, podemos concluir razonablemente que los usuarios de éste navegador son el principal objetivo de este ataque en particular, mientras que la redirección de IE se considera más una idea de última hora. Pero si bien puede monitorizar la actividad del navegador, TROJ_FOOKBACE.A, no parece tener ninguna técnica de robo de información. Se ajusta, por tanto, a los criterios de un ataque de clickjacking más, donde automáticamente intervienen varias páginas de “me gusta” de Facebook que, además, envían un mensaje al muro del usuario afectado de forma mecánica.

El hecho de que este ataque en sí mismo se centre en Chrome y Firefox puede significar que los ciberdelincuentes tienen como objetivo aquellos navegadores con capacidad de extensiones. No es el primer ataque de estas características, pero considerando que este tipo de  navegadores se están poniendo de moda, sirve como advertencia para que todos nos demos cuenta de que esto puede continuar y convertirse en una tendencia que las entidades maliciosas que operan en Internet van a seguir en un futuro previsible.