Algunos spammers han aprovechado la popularidad de la joven estrella Emma Watson, quién participó en la saga Harry Potter, para realizar estafas en Facebook ofreciendo un video de contenido sexual de la estrella de Hollywood. En realidad, se propagan enlaces maliciosos en el perfil del usuario infectado, además de imágenes pornográficas y otros enlaces de la misma naturaleza.

Esta no es la primera vez que el nombre Emma Watson ha sido usado para llevar a cabo estafas. Este gusano ha afectado a los perfiles y grupos de Facebook con publicaciones de enlaces pornográficos maliciosos y también etiquetando a otros en algunas de esas publicaciones.

Para poder evadir el escáner de malware automático de Facebook y mantener desbloqueados los enlaces, los spammers  abusan del servicio de traductor de Google y de los acortadores de URL. Al hacer clic en el enlace, éste redirige al usuario a una página web en donde se pide "verificar la edad".

El sitio web pedirá al usuario que siga algunos pasos para poder acceder al video. En el paso uno se pedirá que haga clic en el enlace, el cual será usado en paso el dos y tres para generar un código de activación. Una vez que el usuario ha realizado la activación será redirigido a otro sitio y su perfil de Facebook cerrará la sesión automáticamente.

Mientras tanto, el virus se propagará en el perfil del usuario y automáticamente se públicará así mismo como Emma Watson en el muro y etiquetará de 12 a 15 amigos en los comentarios. Esta nueva publicación ofrecerá el mismo video y los mismos pasos a otros usuarios.

Las personas detrás de este fraude están obteniendo grandes beneficios económicos de las redes publicitarias. El sitio The Hacker News trató de seguir la pista de los creadores de la siguiente manera:

1. Se abre el código fuente de la página fraude donde pide "verifica edad", en las entradas se encuentran mencionados de manera oculta editores de ID de Google Adsense, un ejemplo son: "pub-0820544532937748". Google Adsense ofrece a los administradores web obtener beneficios económicos mediante la publicación de anuncios dentro de los sitos web. Esto indica la responsabilidad detrás de la estafa mediante un editor de ID determinado con Google adsense en el sitio web.

2.Existen una gran variedad de herramientas que ofrecen buscar sitios web que usan Google Adsense Editorial ID, por ejemplo: http://www.solinet.org/adsense/pub-0820544532937748/

3.Todos los sitios anteriormente mencionados son sospechosos de ofrecer un falso video de Emma Watson y difundir malware para obtener dinero mediante publicidad.

4.En la investigación a los sitios, se encontró en cinco de ellos publicidad de Google y el mismo editor ID. Los detalles del registro donde se descubrió son propiedad de un italiano de nombre "Walter Coraccio".

5.Se accedió al código fuente de esos sitios donde se encontraron dos etiquetas metas, las cuales resultan muy interesantes:

6.Dichas etiquetas son utilizadas por el propietario del sitio y página de Facebook. En este caso, el dueño del sitio web es http://facebook.com/100001246114887 o https://www.facebook.com/dev.banzai y su nombre es Dev Banzai, un diseñador web italiano que tiene pocas publicaciones y un par de amigos en su perfil, quienes también son desarrolladores web.

Esto no indica que los desarrolladores sean o no realmente responsables de la propagación del gusano estafador en Facebook o que solamente sean dueños del servicio de web hosting en donde está alojado el script que contiene el malware.