Durante los últimos días han salido innumerables noticias y advertencias sobre un virus que se propaga a través de las redes sociales, principalmente en Facebook, en el que tus propios contactos te envían un mensaje llamativo, preguntando si eres tú la persona que aparece en un supuesto vídeo, para poder verlo tienes que ingresar a un enlace que se envía en el mensaje. Si abres el enlace y realizas ciertas acciones, ahora de esta forma ahora has sido infectado y ahora tú empiezas a enviar este mensaje a tus contactos de manera automática, ahora ya eres parte del virus.
Para entender mejor cómo atacar y defendernos, examinemos su funcionamiento:
1.- Todo comienza desde el atacante que crea el virus, este debe de replicarse a sí mismo cada que ciertas condiciones son cumplidas, por ejemplo, abrir un enlace o instalar un programa, por lo que el código es dinámico y se adapta al tipo de dispositivo que se esté utilizando. Además de que se emplean diversas técnicas para que no puedan ser detectados por los antivirus de los equipos y que además pasen el sistema de detección de Facebook, por lo que requiere de una gran ingeniería y conocimiento.
2.- El envío funciona por medio de un bot, que se encarga de enviar el mensaje a múltiples personas y que permite que pueda ser replicado una vez que un dispositivo ha sido infectado.
3.- Este código es enviado mediante el enlace, en el que se trata de llamar la atención del usuario, en este caso, con un supuesto vídeo en donde se encuentra la persona una miniatura de un vídeo borrosa o en negro, con alguna leyenda del título del vídeo acompañada del nombre de alguna plataforma de vídeos, como puede ser Youtube, Vimeo, etc., de modo que se gane la confianza del usuario para abrir el enlace. El cual utiliza un ocultador de links, para que el usuario no sepa de manera correcta que enlace está abriendo.
4.- Generalmente el atacante crea una web idéntica a plataformas como Youtube, Vimeo o alguna otra página que le resulte familiar, esto para que usted piense que está en un sitio seguro y que no ocurre ningún peligro. Para ello él desarrolla su propia página web y la registra con un dominio bastante parecido al de la página real, de esta manera obtiene el certificado de SSL, que le permite mostrar en el navegador del cliente un candado en la barra de navegación, indicando que es un sitio seguro.
5.- Una vez que el usuario abre el enlace, hay diversos escenarios en los que el atacante puede obtener lo que busca. Por ejemplo, puede que el atacante sólo busque robar las credenciales de acceso de la cuenta en cuestión, para esto lanzará un mensaje en pantalla que le solicitará al usuario que le permite enlazar su cuenta con el sitio web para poder ver el vídeo, de modo que tendrá que ingresar nuevamente los datos de su cuenta, obteniendo así las credenciales de acceso.
Otro escenario común es que el atacante quiera instalar malware en su equipo, por lo que al ingresar al enlace, le pedirá que tiene que instalar un componente que le falta a su navegador, o la instalación de un “sencilla” extensión, que en realidad se tratará del malware. Aquí es donde realmente el atacante buscará su objetivo, que puede ser la extracción de información, la implantación de una puerta trasera para monitoreo y realizar futuras tareas, o solo, para robar más credenciales o información bancaria.
6.- Una vez que se han ingresado las credenciales o que se ha descargado el software malicioso, la página web no realiza ninguna otra acción, puede que se cierre la conexión entre el cliente y el servidor, o que únicamente no realice ninguna otra acción.
7.- Para el usuario puede parecer como una broma o que algo no ha funcionado bien, por lo que generalmente no realiza ninguna acción de prevención o de defensa porque no saben que han sido atacados. Sin embargo, ahora el mensaje con el virus se sigue propagando, porque ellos ahora compartirán el enlace sin que lo noten, ya que se envía de manera automática y para el usuario no es posible visualizar ni saber que ha enviado el mensaje.
8.- Finalmente, el atacante realiza las acciones necesarias para cumplir su objetivo y el ataque se detiene para ese usuario, aunque los daños ya están hechos.
Como vemos se trata de un virus bastante efectivo, ya que funciona con la manipulación de la gente, utilizando técnicas de phishing para que los usuarios ingresen sus credenciales o que simplemente instalen algún tipo de software. Es bastante común el abrir un enlace que es enviado por un contacto, sin embargo, hay que ser más precavidos, que ya no tenemos la certeza de que en realidad ese mensaje fue enviado por esa persona, o que sus intenciones siempre son buenas.