• Tweet

El sitio de redes sociales MySpace.com está bajo un ataque que un analista de seguridad en cómputo llama "increíblemente virulento" causado por un gusano que roba credenciales de acceso y propaga spam que promueve sitios adware.

El gusano está infectando perfiles de MySpace con tal eficiencia que un escaneo informal de 150 sitios encontró que una tercera parte estaba infectada, dijo Christopher Boyd, gerente de investigación en seguridad en FaceTime Communications Inc.

MySpace, propiedad de News Corp., estima que tiene por lo menos 73 millones de usuarios registrados.

El gusano funciona usando debilidades de cross-site scripting encontradas hace unas dos semanas en MySpace y por medio de una característica del reproductor multimedia de Apple Computer Inc., QuickTime.

El exploit empieza con un usuario que visita un perfil de MySpace infectado con una película embebida de QuickTime. La película carga código JavaScript que sobreescribe una fila en el menú de opciones en el perfil de MySpace con otro falso.

Una función de QuickTime, llamada HREF, puede indicar al reproductor que use comandos de JavaScript que cargue páginas Web dentro de un frame del navegador o una ventana.

La característica JavaScript en QuickTime tiene usos legítimos, "pero hay muchos usos legítimos para tecnología que pueden ser mal usados", dijo Ross Paul, gerente senior de productos en Websense Inc.

Si una opción en el menú falso es presionada, el usuario es dirigido a una página de acceso falsa hospedada por otro servidor donde los detalles de acceso de la persona son capturados.

Websense ha publicado un screenshot de la pagina de acceso falsa.

La tendencia "aparentemente al azar" de MySpace de expirar las sesiones de usuario o terminar la sesión de los usuarios hace menos notable para las víctimas que un ataque se está llevando a cabo, de acuerdo con un boletín del 16 de Noviembre del grupo "Academia de Cómputo Underground".

Adicionalmente, el gusano coloca una película embebida en el perfil del usuario, la cual después repetirá el proceso de infección para cualquiera que visite el perfil.

El gusano tiene otra función maliciosa. Una vez que un perfil es infectado, el gusano envía spam a otras personas de la lista de contactos del usuario.

Esos mensajes spam contienen un archivo que parece ser una película pero en su lugar es una liga a un sitio pornográfico que ademas aloja el adware Zango Inc., dijo Boyd. Zango acumuló el mes pasado en la Comisión Federal de Comercio de E.U. multas por 3 millones de dólares por no pedir adecuadamente el consentimiento de los usuarios para instalar el adware.

Boyd dijo que escuchó anécdotas de usuarios eliminando el JavaScript del gusano manualmente de su perfil, pero el gusano reaparece después de algún tiempo si uno de los perfiles de sus amigos es infectado. Muchas variantes de el gusano también han aparecido, dijo Boyd.

Mientras algunos de los sitios que hospedan la película maliciosa QuickTime han sido dados de baja, otros más han aparecido, dijo Boyd.

El navegador Firefox 2.0 señalaba algunos de los sitios de acceso falsos como sitios phishing, dijo Boyd. Sin embargo, los sitios phishing pueden estar activos por varias horas antes de que sean detectados.

Oficiales de MySpace en Londres no han emitido ningún comentario al respecto hasta la mañana de este lunes.