Los investigadores de la empresa de seguridad Check Point han hecho un descubrimiento que puede hacer temblar los cimientos de las comunicaciones de hoy en día. En un mundo gobernado por las redes sociales y con Facebook como máximo exponente de las mismas, parece que los ciberdelincuentes han encontrado la vía de infección más extensa y de mayor repercusión. Y es que, como la firma de seguridad ha notificado a las compañías Facebook y Linkedin, usuarios malintencionados pueden usar sus respectivas plataformas para expandir el ransomware Locky (malware del que se ha hablado recientemente en este mismo blog).

Ya que la vulnerabilidad aún no ha sido solucionada, la empresa israelí no ha querido dar detalles técnicos para no dar facilidades a aquellos que quieran explotarla con fines maliciosos. A pesar de ello, se conoce el modus operandi para explotarla. La vulnerabilidad se basa en infectar por Locky a partir de las imágenes de las redes sociales. Para ello hay dos posibilidades: la primera de ella consiste en embeber el código malicioso en la imagen que posteriormente será subida al sitio web de la red social. La segunda consiste en utilizar dobles extensiones, camuflando archivos SVG, JS y HTA como archivos de imagen. Gracias a nuestros compañeros de laboratorio de malware de S2 Grupo, podemos confirmar que el formato ”.js” es el más utilizado para su difusión.

No hay una única manera mediante la cual un usuario pueda infectarse. Dependiendo de la táctica empleada, es posible que únicamente con visitar la dirección donde se encuentra la imagen, ésta se descargue en el equipo. En otras ocasiones, el usuario deberá pinchar sobre la imagen para llevar a cabo la descarga. Por último, y relacionado con el descubrimiento de Bart Blaze, es posible que la imagen dañina sea enviada mediante Messenger Facebook.

Una vez se ha descargado y abierto la imagen en el equipo, se pondrá en marcha la operación infección. Al ejecutarla, y siempre y cuando lo hagamos desde un sistema operativo Windows, lo que estaremos haciendo es lanzar un script que comunica con los centros de control del ransomware, descargando una copia del mismo en la máquina en cuestión. Os recomiendo ver este vídeo.

Por si alguien no está al tanto del funcionamiento del ransomware, básicamente su finalidad es conseguir dinero mediante el cifrado de los archivos de la máquina infectada. Cuando el usuario los quiera abrir, se le pedirá una gran suma de dinero por descifrar sus archivos, pago que normalmente se hará mediante bitcoins.

A pesar de que Check Point asegura que avisó a ambas compañías en septiembre, a día de hoy no está todavía resuelta la vulnerabilidad. La mejor manera de mantenerse a salvo del citado malware es no abrir cualquier tipo de archivo que se haya descargado de manera sospechosa, o de cuya legitimidad no estemos seguros. La operación conocida como ImageGate sigue activa y con un riesgo potencial para una inmensa cantidad de usuarios.

Algunas referencias de interés:

• http://arstechnica.com/security/2016/11/locky-ransomware-decoy-image-files-boobytrap-facebook-linkedin/
• http://thehackernews.com/2016/11/facebook-locky-ransomware.html
• http://www.adslzone.net/2016/11/26/detectan-fallo-seguridad-facebook-linkedin-infecta-locky/
• https://elchapuzasinformatico.com/2016/11/locky-se-distribuye-facebook-linkedin/
• http://www.redeszone.net/2016/11/26/distribuyen-locky-facebook-linkedin-traves-imagenes/
• http://www.infosecurity-magazine.com/news/locky-ransomware-facebook-linkedin/
• http://www.infosecurity-magazine.com/news/malware-gambit-uses-facebook-google/
• https://www.helpnetsecurity.com/2016/11/25/locky-image-file-facebook-linkedin/
• http://tech.firstpost.com/news-analysis/imagegate-locky-ransomware-can-now-spread-on-facebook-and-linkedin-images-349889.html