Vulnerability Team

Un nuevo gusano, Rainbow, ha tomado el control de Twitter infectando a millones de usuarios que han visto cómo una cadena de caracteres extraños aparecía en su perfil.

El gusano Rainbow aprovecha una vulnerabilidad en Twitter que hace que cualquier usuario que opere a través del sitio, cuando recibe el mensaje malicioso asociado al ataque y al pasar el puntero del ratón por el tweet que contiene la cadena de caracteres manipulados esté expuesto a diversos inconvenientes.

Entre otras consecuencias indeseadas, automáticamente se enviará desde su perfil la cadena maliciosa a sus seguidores, con lo que, involuntariamente, la víctima contribuirá a la distribución del gusano. Además, puede darse el caso de que ésta vea aparecer mensajes extraños, con letras gigantes, cuadros de diálogo donde se lee “Hola”, cuadros negros en los que supuestamente debería mostrarse el texto de un tweet, etc.

Por otra parte, cuando alguien visite el perfil de una víctima de Rainbow, puede ser redirigido a cualquier otra dirección web.

La vulnerabilidad explotada por este gusano permite la ejecución de código javascript, que permite ejecutar diferentes procesos y abre un amplio abanico de posibilidades a los hackers.

fuente: csospain.es 

En la actualidad existen dos variantes conocidas de TwitterNET Builder. La primera utiliza comandos maliciosos con nombres estáticos. La segunda variante, detectada por Kaspersky Lab, permite cambiar los nombres del comando, lo que hace más difícil identificar qué cuentas de Twitter se están utilizando para controlar las botnets.

Sólo hacen falta un par de clics para crear un código malicioso capaz de convertir ordenadores infectados en zombies, que cuando se unen forman una botnet. Las botnets se controlan a través de una cuenta creada en el servicio de microblogging Twitter. Este tipo de botnets se utilizan para llevar a cabo prácticas habituales entre los ciberdelincuentes, como distribuir spam, realizar attaques DDoS, etc.

TwitterNET Builder está disponible de forma gratuita y se dirige a todo tipo de hackers, sobre todo principiantes.

Recientemente, el servicio de microblogging Twitter ha estado captando más y más la atención de los escritores de malware y de los hackers.

«El robo de credenciales y la publicación de enlaces maliciosos en Twitter ha aumentado considerablemente desde mediados de marzo, y cada día vemos más y más proyectos diseñados para hacer dinero con estos datos»; explica Costin Riau, director del equipo de investigación y análisis de Kaspersky Lab.

Los foros de hackers rusos están haciendo un gran negocio con las cuentas comprometidas de Twitter. Alrededor de mil cuentas comprometidas se están ofertando en el mercado por un precio aproximado de 100 a 200 dólares. El coste depende del número de usuarios - cuantos más 'seguidores' tenga la cuenta, mayor será su precio. Las cuentas se comprometen utilizando dos métodos: troyanos que roban las credenciales de Twitter directamente del usuario y estafas de phishing que utilizan falsas peticiones de autorizaciones en sitios falsos que imitan la página original. Una vez que los cibercriminales tienen acceso a una cuenta, pueden comenzar un mailing malicioso, que aparentemente envía el legítimo dueño de la cuenta, o simplemente pueden vender la cuenta a otros para propósitos similares.

Kaspersky Lab recomienda a los usuarios que sean especialmente cuidadosos con los mensajes que reciben de sitios de redes sociales y que se aseguren de que su solución antivirus siempre esté actualizada.

fuente: laflecha.net