• Tweet

Investigadores de seguridad advierten de un troyano distribuido a través de Facebook que tiene la capacidad de reemplazar los programas antivirus legítimos utilizados por sus víctimas.

Sus creadores invirtieron mucho esfuerzo en la rutina de propagación del troyano ya que usa ingeniería social avanzada similar al gusano Koobface.

Esta código malicioso secuestra la sesión de Facebook de la víctima y manda mensajes a sus contactos a través del chat del sitio.

El mensaje indica a los usuarios conectados al chat que aparecen en un video publicado. Los usuarios curiosos que dan clic en el enlace son enviados a una página falsa similar a YouTube con un video que contiene sus nombres en el título y mensajes falsos de sus amigos.

El troyano aprovecha la capacidad de ver a los "amigos de amigos" en Facebook y utiliza sus nombres para hacer este fraude más convincente. Los comentarios publicados expresan apoyo y decepción para capturar la curiosidad de la víctima.

Sin embargo, la página informa al usuario que debe descargar e instalar una actualización de Flash Player para ver el video. Esta es una táctica conocida que se usa para distribuir malware.

Una vez instalada en la computadora, el troyano bloquea las notificaciones del firewall, actualizaciones de Windows o notificaciones del programa antivirus y muestra una ventana que insta al usuario a reiniciar el sistema.

La parte interesante está en que puede detectar e imitar a docenas de antivirus populares, incluyendo el lenguaje utilizado en su interfaz. Finalmente, agenda a los programas antivirus legítimos para su desinstalación.

El troyano utiliza la utilidad bcdedit.exe para forzar a la computadora a entrar en "modo seguro", después de reiniciarla para la desinstalación del antivirus legítimo. A diferencia de la mayoría del malware, éste se configura a sí mismo para ejecutarse en modo seguro y de esta manera controla siempre al equipo.

Después de desinstalar al antivirus, la computadora es reiniciada nuevamente y se ejecuta un antivirus falso que imita al legítimo. Esto provoca que las víctimas creean que aún siguen protegidos, mientras el troyano descarga e instala más código malicioso de manera silenciosa.

"La computadora es usada por ciberdelincuentes para diversos propósitos que constantemente son ampliados a través de complementos (plug-ins)  maliciosos. Todo esto ocurre mientras piensas que estás protegido y que nada puede pasarte", advirtieron investigadores de seguridad de BitDefender quienes identificaron este malware.