Un nuevo troyano utilizado por cibercriminales está atacando a usuarios de Facebook, tomando control de sus equipos, con el fin de obtener dinero en efectivo.

Carberp, como sus predecesores ZeuS y SpyEye, infecta las máquinas utilizando engaños para que los usuarios abran documentos PDF y de Excel cargados con código malicioso, o ataca mediante descargas no solicitadas. El malware oculto está diseñado para robar información de cuentas, y recolectar datos de acceso a correo electrónico y sitios de redes sociales.

Una configuración diferente del troyano Carberp se enfoca en robar a usuarios de Facebook bonos de dinero electrónico. Ataques previos han sido diseñados únicamente para obtener información de inicio de sesión, por lo que este último ataque, descubierto por la empresa de seguridad en transacciones Trusteer, puede ser considerado algo así­ como una escalada.

La variante Carberp reemplaza cualquier página de Facebook, en la que el usuario navegue, por una página falsa que le notifica a la ví­ctima que su cuenta de Facebook está bloqueada temporalmente. Manteniendo efectivamente secuestrada la cuenta del usuario, la página pide nombre, apellido, correo electrónico, fecha de nacimiento, contraseña y un número de vale Ukash, con valor de 20 euros, para verificar su identidad y desbloquear la cuenta.

Trusteer advierte que este ataque es, en algunos casos, peor que el fraude con tarjetas de crédito, ya que, con dinero electrónico, es el dueño de la cuenta y no la institución financiera quien asume la responsabilidad por transacciones fraudulentas.

Trusteer dijo no tener datos concretos de cuántas personas pueden haber sido víctimas de este ataque en particular. Advierte a usuarios de redes sociales, en particular a aquellos con cuentas de dinero electrónico, estar alerta de este tipo de fraude y fraudes similares que sigan la misma línea, los cuales podrían fácilmente engañar a los incautos.

Amit Klein, director de tecnologí­as de información de Trusteer, comentó: "La técnica fraudulenta es bastante efectiva. Hay que tomar en cuenta que el usuario recibe un mensaje que parece auténtico, en el contexto de un inicio de sesión, genuino e intencionado, en Facebook. Sabemos que esto­ es exactamente lo que los usuarios son más susceptibles de divulgar información personal y seguir instrucciones adicionales, ya que su confianza en el contenido es máxima".

El uso de técnicas de anti-debugging y rootkit, hace al troyano Carberp difícil de detectar, advierte la consultora de seguridad Context Information Security. Context dijo: "Carberp es también parte de una botnet que puede tomar control total sobre equipos infectados, mientras sus complicados mecanismos de infección y amplia funcionalidad lo hacen un candidato principal para más ataques dirigidos".

Context agregó que Carberp, el cual crea una puerta trasera en las máquinas infectadas, puede se controlado desde un panel central administración, permitiendo, a los dueños de la botnet, extraer más facilmente los datos robados.

Trusteer dijo haber reportado el ataque a Facebook, y compartió por adelantado muestras del malware antes de publicar en su blog, un dí­a después de que Facebook alardeara haber estado libre del gusano Koobface por más de nueve meses.

"No creo que este incidente contradiga su declaración de 'libre de virus', ya que Carberp sólo infecta la PC de la ví­ctima, sin modificar siquiera el perfil de Facebook de la ví­ctima, o cualquier otra alteración del sitio de Facebook", dijo el CTO de Trusteer a El Reg. "Y hasta donde sabemos, Carberp no se propaga a través de Facebook".

Trusteer publicó el miércoles en su blog, capturas de pantalla con más detalles sobre la estafa de dinero electrónico de Carberp en acción.