• Tweet

Mensajes spam maliciosos generados por la infame botnet Cutwail están siendo dirigidos a usuarios de Facebook para potencializar ataques de un troyano bancario.

Los mensajes llegan bajo la forma de notificación de invitación de un amigo de Facebook. A simple vista, los correos electrónicos parecen lo suficientemente genuinos, esto se debe a que aparentemente, los creadores del malware están utilizando una plataforma legítima de Facebook. Pese a que la supuesta invitación legítima de Facebook contiene enlaces reales a la red social,  los correos electrónicos maliciosos cuentan además con vínculos personalizados a sitios de malware. Además, difieren de uno genuino en que no disponen de fotos del perfil de Facebook. La dirección del destinatario de correo electrónico también está ausente en la parte inferior de la falsa invitación.

Los usuarios engañados que dan clic en el enlace malicioso se exponen a un ataque de malware de dos disparos. En primer lugar, se les ofrece una falsa actualización de Flash. Además, al hacer clic en el vínculo, abre un iframe oculto, que a continuación, carga datos desde un servidor remoto que aloja el paquete de exploits Blackhole. El kit de exploits intenta tomar ventaja de huecos de seguridad del navegador, sobre todo, aquellas que involucran instalaciones inseguras de Java.

Ambas técnicas intentan descargar una variante del siniestro troyano bancario ZeuS en los sistemas comprometidos. Suplantar la identidad de las notificaciones de correo electrónico de Facebook es una técnica bastante común entre los spammers y encuestadores fraudulentos, pero lo que nunca se había visto era que aplicaran troyanos bancarios antes del despegue.