Vulnerability Team

Sin lugar a dudas Koobface es el malware referente en lo que respecta a la relación entre los códigos maliciosos y redes sociales. El troyano que se propaga por la red desde hace años, y que ha conformado una importante red botnet ha vuelto a la acción con una particularidad: ahora es multi-plataforma.

En el día de hoy se ha detectado una nueva campaña de propagación de Koobface, que tiene la particularidad de afectar a Mac OS y Linux, además de Windows. El troyano llega al usuario a través de mensajes en diversas redes sociales (Facebook, MySpace, Twitter) con la leyenda “Is this you in this video?” (en español, “¿Este eres tu en este video?“). Si el usuario visita el enlace observará una pantalla simulando un video multimedia online, y se intentará ejecutar un applet de Java, lo que en los casos de muchos usuarios será alertado por el navegador. El applet no es parte de la ejecución de un video (de hecho, no hay ningún video que mostrar, es sólo un engaño, parte de la Ingeniería Social), sino que es directamente el código malicioso, una nueva variante de Koobface que aprovecha Java para poder ejecutarse en diversas plataformas.

Si se autoriza la ejecución del código Java, se descargarán archivos en una carpeta oculta (jnana), que incluyen un instalador que será ejecutado y posee las rutinas necesarias para instalar la amenaza tanto en Windows, en Linux y en Mac OS. Una vez en ejecución, las acciones del código malicioso son las mismas que las que ya conocemos de él en Windows: se ejecuta un servidor web y un servicio IRC en el sistema, como parte de la botnet de la amenaza y a la espera de nuevas instrucciones; y se activan otras funciones como la propia propagación de la amenaza, generando mensajes en las redes sociales desde el sistema infectado del usuario.

Vale destacar que diversos investigadores han probado que la implementación de la amenaza en Mac OS aún no está completamente funcional, y en muchos casos al malware no logra instalarse correctamente, aunque sí es importante destacar que los creadores de Koobface ya están haciendo foco en el malware multi-plataforma, y podremos ver nuevas variantes similares en un futuro. En la siguiente imagen podemos ver la página fuente de la infección, a través de un sistema Linux, extraída de un interesante informe que incluye un video completo de la infección bajo la plataforma libre:

Recomendamos a los usuarios ser precavidos a la hora de abrir cualquier tipo de video o imagen, y mas si se desconoce el origen del mismo, ademas de tener un sistema antivirus con las ultimas atualizaciones al igual que el sistema operativo.Tambien se pueden utilizar herramientas para los navegadores que se encargan de bloquear todo tipo de codigo java ademas de prevenir  ataques como xss, session hijacking (no-scripts para firefox)

fuente: blogs.eset-la.com