A la hora de administrar las botnets (redes piratas creadas para la distribución masiva de malware), los cibercriminales han descubierto una mina en estas redes. Hasta ahora, los escarceos con entornos como Facebook o Twitter eran sólo pruebas de concepto. Pero ya en el mes de mayo apareció un utilitario para crear bots, TwitterNET Builder, que construye una botnet usando una cuenta en Twitter como centro de administración.
Para trabajar con el programa no es necesario saber programación, lo que lo convertía en un “juguete” ideal para los novatos: un par de clics y el bot está listo. Bautizado como Backdoor.Win32.Twitbot, este “juguete” permite la descarga y ejecución de ficheros nocivos, ataques DDoS y visitas a los sitios web predeterminados por los delincuentes. Para recibir instrucciones, el bot busca en Twitter una cuenta determinada en la que, en forma de texto, se publican las órdenes de su dueño.
Afortunadamente, este bot no ha conseguido hacerse muy popular, dado su primitivo comportamiento (las instrucciones no están cifradas, sino que se envían abiertamente mediante la red social, por lo que son fáciles de detectar y desconectar con sólo cerrar la cuenta). A mediados de junio no quedaban ya centros de administración en Twitter, lo que dice mucho de la velocidad de reacción de los servicios de seguridad de esta red.
En cualquier caso, los expertos de Kaspersky Lab insisten en que las redes sociales sirven como ningún otro canal para propagar activamente enlaces a programas maliciosos. De hecho, estos expertos aseguran que, con el tiempo, las redes sociales podrían reemplazar al correo electrónico en la innoble tarea de distribuir programas maliciosos. Las cifras confirman la efectividad de los envíos masivos en las redes sociales. En el transcurso de un ataque llevado a cabo en la red Twitter, en tan sólo una hora 2.000 usuarios siguieron el enlace enviado.
Pero el ataque más importante se produjo en ese mismo mes de de mayo, cuando apareció en Facebook un nuevo tipo de ataque, relacionado con la introducción de la función “like”, que controla la lista de cosas que le gustan al propietario de la cuenta. Miles de usuarios se convirtieron en víctimas de este ataque, que consistía en colocar en Facebook un atractivo enlace (por ejemplo “Mundial 2010 en alta resolución”, o “Las 101 mujeres más atractivas del mundo”). El enlace conducía a una página ad-hoc, en la que un escenario Javascript ponía un botón invisible justo debajo del cursor. El botón se desplazaba junto con el cursor de tal manera que, dondequiera que el usuario pulsara, apretaba inevitablemente en este botón y, como consecuencia, agregaba en su “muro” una copia del enlace. El resultado es que en las “últimas noticias” de sus amigos aparecerá que este enlace (“he likes”or “she likes”). El ataque creció como una bola de nieve: primero seguían el enlace los amigos, después los amigos de los amigos, etc.
Después de agregar el enlace a su “muro”, el usuario recibía, en efecto, una página donde aparentemente estaba lo que había solicitado (un reproductor de vídeo que supuestamente transmitía los partidos del mundial, o un portal con fotografías de chicas); pero en la misma página había una campaña comercial que eludía los bloqueadores de ventanas publicitarias. El estafador recibía pequeñas sumas de dinero por cada visita de los usuarios a la página. Dado que hubo miles de víctimas de este ataque, está claro que la suma recibida por los delincuentes no fue tan pequeña.
RSS
