Los investigadores han descubierto una nueva campaña de piratería informática aprovechando en Facebook Messenger para difundir el ransomware Locky a través de imágenes SVG.
El Locky ransomware se propaga a través de un programa de descarga, los expertos se dieron cuenta de que es capaz de eludir las medidas de defensa de Facebook, haciéndose pasar por un archivo de imagen inofensiva.
La campaña fue descubierto por primera vez durante el fin de semana por el experto de malware Bart Blaze y por los investigadores Peter Kruse.
Bart Blaze en una entrada en el blog: "Un amigo mío me notificó de algo extraño está pasando con su cuenta de Facebook, un mensaje que contiene sólo una imagen ( un archivo.svg en la realidad) había sido enviado de forma automática, sin pasar por el filtro de manera efectiva la extensión de archivo de Facebook: "
La imagen SVG archivo puede ser utilizado por los atacantes como una especie de contenedor que puede incluir un código malicioso, como un Java Script.
En mayo de 2015, los investigadores de la empresa de seguridad AppRiver descubrieron una campaña maliciosa que estaba distribuyendo una cepa de ransomware explotando archivos SVG.
El SVG (Scalable Vector Graphics) es un formato de imagen vectorial basado en XML para gráficos bidimensionales con el apoyo para la animación y la interactividad. Las imágenes SVG incluyen la definición de sus comportamientos en archivos de texto XML, esta característica hace posible la imagen SVG puede ser buscado, indexado, con guión, y se comprime.
A pesar de las imágenes SVG pueden ser creados y editados con cualquier editor de texto, más a menudo que se crean directamente con un software que elabora las imágenes.
Los expertos de AppRiver notaron que los agentes de amenaza en el salvaje estaban explotando una pequeña entrada JavaScript contenida en los archivos SVG que les permiten redirigir las víctimas a un sitio web utilizado para servir a la Cryptowall malware.
"Estos archivos SVG sin embargo contenían una pequeña entrada javascript que abriría una página web para descargar algunos programas maliciosos." Dijeron los investigadores AppRiver en una entrada en el blog . "El enlace IP en cuestión termina el reenvío a otro dominio en el que una cremallera se descarga de la real exe carga útil. No se auto ejecute , sigue siendo necesaria la interacción del usuario para eso. "
De vuelta al presente, el nuevo ataque aprovecha un descargador llamada Nemucod que se propaga a través de Facebook Messenger como un archivo .svg, según lo confirmado por Peter Kruse a través de Twitter.
Cuando la víctima accede al archivo SVG malicioso que se dirige a un sitio web que parece ser de YouTube en el diseño solamente, pero una vez que se carga la página, se le pide a la víctima para instalar un códec con el fin de reproducir el vídeo que se muestra en la página.
"Un sitio web que pretende ser Youtube, facturan con un vídeo de Facebook por supuesto, usted necesita para instalar una extensión adicional para visualizarla :)" continúa Bart Blaze.
Si la víctima instala la extensión de Chrome conforme a lo solicitado en la página, el ataque es esto una mayor propagación a través de Facebook Messenger. Los expertos observaron que a veces la extensión de Chrome malicioso se instala el programa de descarga Nemucod, que se lanza el ataque ransomware Locky.
Los expertos advierten de diversas variantes del ataque y probablemente varias extensiones maliciosos usados para propagar malware como el Locky ransomware.
Fecha actualización el 2021-11-21. Fecha publicación el 2016-11-21. Categoría: Malware. Autor: Oscar olg Mapa del sitio