Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
07/02/2013
Un virus en Facebook compromet 16.000 contrasenyes
MSIL/Agent.NKY. és un virus que afecta els usuaris de Facebook i que, fins al moment, ha aconseguit fer-se amb les credencials de milers d’usuaris de la xarxa social. Així ho ha fet saber ESET, que porta un any investigant esta xarxa de zombis que concentra els seus atacs a Israel.
Denominat genèricament MSIL/Agent.NKY, ESET assegura que en l’últim any ha detectat diferents variants del troià. “Després del descobriment inicial, vam ser capaços de trobar altres variants del troià, unes de més antigues i altres de més modernes. També es van aconseguir estadístiques de detecció, que van revelar Israel com el país amb major activitat del codi maliciós”.
Així, el procediment d’este virus és el següent: “quan el zombi es connecta al centre de comandament i control, li sol·licita tasques per a dur a terme. Una d’eixes tasques equival a un usuari de Facebook. El troià està programat per a iniciar sessió en un compte de Facebook i aconseguir les estadístiques de Zynga Poker del compte de Facebook en qüestió i el nombre de mètodes de pagament, com, per exemple, les targetes de crèdit emmagatzemades en el compte de Facebook”, destaca la firma.
Així mateix, i tal com assenyala ESET, “cal tindre en compte que per a fer la consulta l’atacant només necessita l’identificador numèric del compte de Facebook i un paràmetre vàlid firmat per l’aplicació Zynga Poker. En diferents versions del zombie hem detectat que s’usaven diferents paràmetres. A fi de determinar el nombre de formes de pagament vinculades al compte de Facebook, el primer zombie ha d’entrar en eixe compte utilitzant el nom d’usuari i contrasenya que ja estan en poder de l’atacant”.
ESET recomana als usuaris que, per a evitar mals majors, siguen molt cauts a l’hora d’emmagatzemar dades de targetes de crèdit en una aplicació, “no sols en Facebook”.
Una vegada que el zombie té la informació, el sistema infectat pot dur a terme diverses tasques en nom de la víctima, com ara publicar enllaços en el mur de l’usuari de Facebook, amb la qual cosa es redirigixen amics de l’usuari de Facebook a pàgines falses, “independentment del tema de la pàgina a què redirigixen, totes tenen un factor comú: cada imatge té un enllaç HTML a una pàgina falsa de Facebook on iniciar sessió. De nou, s’han anat usant diferents URL al llarg del temps”.
En total, ESET ha trobat 36 versions diferents de “PokerAgent” amb dates de compilació compreses entre setembre de 2011 i març de 2012. “El seguiment de la xarxa de zombies va revelar que almenys 800 ordinadors havien sigut infectats amb el troià, i l’atacant tenia almenys 16.194 entrades úniques en la seua base de dades de credencials de Facebook el 20 de març de 2012”.