Los ciberdelincuentes comienzan a usar Facebook para hacer negocio con falsos antivirus
Written by javier.peris on 19/05/2009
La variante número 56 de la familia de gusanos Boface hace creer a los usuarios que están infectados y deben adquirir el antivirus que les ofrecen.
Acaba de aparecer la variante número 56 de la familia de gusanos Boface. Cada uno de ellos está especialmente diseñado para utilizar la red social Facebook para distribuir y descargar malware, debido a su gran popularidad a nivel mundial y la potencialidad de usuarios a los que puede llegar. En este caso, la variante BJ, utiliza la red social para descargar e instalar falsos antivirus y engañar así a los usuarios haciéndoles creer que están infectados y que deben adquirir un antivirus falso. De esta manera, consiguen dinero de manera fraudulenta.
Según datos recogidos por la herramienta gratuita online Panda ActiveScan, desde agosto de 2008 hasta hoy, un 1% de los PCs analizados estaban infectados por alguna variante de Boface. Según Luis Corrons, Director Técnico de PandaLabs, «si extrapolamos dicha cuantía a los usuarios mundiales que utilizan Facebook, 200 millones, podemos pensar que 2 millones de usuarios pueden estar infectados. El incremento de número de variantes se debe a que los ciberdelincuentes quieren conseguir infectar al mayor número de usuarios posibles, y de este modo, aumentar sus beneficios». En cuanto a distribución geográfica de las infecciones, casi un 40% se focalizan en Estados Unidos, estando muy repartido el resto entre diferentes países.
Además, observando el ratio de infección causada por este tipo de malware desde agosto, el ratio de crecimiento se está disparando, llegando incluso a un 1.200% comparando abril de 2009 con agosto del 2008.
El negocio de los falsos antivirus, o rogue antimalware, es uno de los más prolíficos en cuanto a número de ejemplares y distribución. PandaLabs prevé un crecimiento trimestral de más del 100% para este año.
El nuevo gusano Boface.BJ llega a los PCs de diferente manera: correo electrónico con archivos adjuntos, descargas de Internet, transferencia de archivos a través de FTP, canales IRC, redes de intercambio de archivos entre pares (P2P), etc. El usuario se infecta sin su conocimiento.
Una vez que el PC se ha infectado, tarda cuatro horas en entrar en acción. Y lo hace una vez el usuario entra a su cuenta de Facebook. En ese momento, utiliza la red de amigos para enviar un mensaje a todos ellos, incluido el usuario afectado.
Al hacer clic sobre el enlace, lleva a una página que imita a YouTube (pero que se llama «YuoTube»), en la que supuestamente el usuario debería visualizar un vídeo. Sin embargo, para hacerlo, salta una petición de descarga de un reproductor. Si el usuario acepta, inmediatamente comienza la descarga del ejecutable del falso antivirus o rogue antimalware.
Si se acepta la descarga, se instalará el falso antivirus en el ordenador. Desde ese momento, comenzará a lanzar mensajes al usuario indicándole que su PC está infectado y que debe comprar una solución.
Si se tiene en cuenta la potencialidad de Facebook en cuanto a distribución de información debido a la viralidad de las redes de amigos, podemos suponer que dicho mensaje se propaga de forma exponencial pudiendo alcanzar cotas de infección muy elevadas.
Más información en: www.pandalabs.com