Worm usa Google para moverse por Facebook

Un programa malicioso que surgió en Facebook.com a fines de julio ha vuelto a aparecer, esta vez usando los sitios web de Google para escabullirse por los filtros de seguridad.

El martes, los investigadores del proveedor de gestión de amenazas unificadas Fortinet notaron que un programa similar al gusano Koobface había comenzado a usar Google Reader y los sitios web de Picasa para propagarse. En el ataque, los delincuentes alojan imágenes que parecen videos de YouTube en los sitios de Google con la esperanza de engañar a las víctimas para que descarguen software malicioso.

Inicialmente, los hackers destrabaron Koobface a fines de julio, pero el equipo de seguridad de Facebook pronto redujo su propagación bloqueando la Web sitios que hospedaban el software troyano malicioso.

[Lectura adicional: cómo eliminar el malware de su PC con Windows]

Eso ha llevado a los delincuentes a cambiar de táctica, según Guillaume Lovet, gerente senior de investigación de Fortinet. En este último ataque, han alojado archivos que parecen ser videos de YouTube en Picasa y Google Reader y usaron Facebook para enviarlos a las víctimas.

Los enlaces parecen seguros porque van a los sitios web de Google.com, pero una vez que llega la víctima en la página de Google Reader o Picasa, se le invita a hacer clic en un video o un enlace web. Luego se le dice a la víctima que necesita descargar un software especial de descompresión de códec para ver el video. Ese software es en realidad un programa Trojan Horse malicioso, que está bloqueado por la mayoría de los programas antivirus, según Facebook.

Lovet cree que los ciberdelincuentes detrás de Koobface han escrito mal sus mensajes de Facebook para ayudarlos a evadir la detección por filtros.

"Sommebody uupload un viideo con usted en utubee. Usted shuold ese", lee un mensaje.

Lovet no ha visto este último ataque utilizar el código de gusano de autocopia que Koobface utilizó en agosto pasado, pero podría ser agregado fácilmente, dijo.

Facebook está trabajando con Google para cerrar el problema, dijo el portavoz de Facebook, Barry Schnitt.

Koobface ha sido una de las principales preocupaciones de seguridad en Facebook desde julio. "Ha estado ahí constantemente", dijo Schnitt, "pero últimamente ha aparecido un poco más".

Los creadores del gusano han usado otros trucos para intentar eludir los filtros de Facebook, agregó. Han utilizado la función de mensajería instantánea de Facebook y también han alojado sus enlaces maliciosos en sitios como Tinyurl.com y Bloglines.

Nadie sabe qué tan extendido está este malware, pero cuando Koobface apareció por primera vez en la escena, Facebook dijo que estaba afectando menos del 0.02 por ciento de los usuarios. Facebook cuenta con más de 110 millones de usuarios; El 0.002 por ciento de eso representaría 220,000 usuarios.

Los expertos en seguridad han advertido durante mucho tiempo que el modelo mash-up de Web 2.0 que permite a los usuarios juntar su propio contenido de muchas fuentes crea naturalmente muchos problemas de seguridad. En parte, esto se debe a que permite que cualquier persona publique material en dominios confiables como Google.com.

"Creo que verá más de estas cosas sucediendo", dijo Petko Petkov, investigador de seguridad de GNUCitizen.

Con Intranets corporativas adoptando nuevas tecnologías como blogs y Wikis, Petkov piensa que los objetivos corporativos pueden estar pronto listos para el ataque. "Si tienes un gusano dentro de una corporación que funciona de la misma manera que el gusano en Facebook, tienes un gran problema".