MSIL/Agent.NKY. es un virus que afecta a los usuarios de Facebook y que, hasta el momento, ha conseguido hacerse con las credenciales de miles de usuarios de la red social.
Así lo ha hecho saber ESET, quien lleva un año investigando esta red de bots que concentra sus ataques en Israel.
Así lo ha hecho saber ESET, quien lleva un año investigando esta red de bots que concentra sus ataques en Israel.
Denominado genéricamente MSIL/Agent.NKY, ESET asegura que en el último año ha detectado diferentes variantes del
troyano. “Tras el descubrimiento inicial, fuimos capaces de encontrar
otras variantes del troyano, unas más antiguas y otras más modernas.
También se consiguieron estadísticas de detección, que revelaron a
Israel como el país con mayor actividad del código malicioso”.
Así, el procedimiento de este virus es el siguiente:
“cuando el bot se conecta al centro de mando y control, le solicita
tareas para llevar a cabo. Una de esas tareas equivale a un usuario de Facebook. El troyano está programado para iniciar sesión en una cuenta de Facebook y conseguir las estadísticas de Zynga Poker de la cuenta de Facebook en cuestión y el número de métodos de pago, como, por ejemplo, las tarjetas de crédito almacenadas en la cuenta de Facebook”, destaca la firma.
Asimismo, y tal y como señala ESET, “hay que tener en cuenta que para hacer la consulta el atacante solo necesita el identificador numérico de la cuenta de Facebook y un parámetro válido firmado por la aplicación Zynga Poker.
En diferentes versiones del bot hemos detectado que se usaban
diferentes parámetros. Con el fin de determinar el número de formas de
pago vinculadas a la cuenta de Facebook, el bot primero
tiene que entrar en esa cuenta, utilizando el nombre de usuario y
contraseña que ya están en poder del atacante”.
ESET recomienda a los usuarios que, para evitar males
mayores, se sea muy cauto a la hora de almacenar datos de tarjetas de
crédito en una aplicación, “no sólo en Facebook”.
Una vez que el bot tiene la información, el sistema infectado puede
llevar a cabo diversas tareas en nombre de la víctima, tales como
publicar enlaces en el muro del usuario de Facebook, con lo que se redirigen a amigos del usuario de Facebook a páginas falsas,
“independientemente del tema de la página a la que redirigen, todas
tienen un factor común: cada imagen tiene un enlace HTML a una página
falsa de Facebook en la que iniciar sesión De nuevo, se han ido usando diferentes URL a lo largo del tiempo”.
En total, ESET ha encontrado 36 versiones distintas de “PokerAgent”
con fechas de compilación comprendidas entre septiembre de 2011 y marzo
de 2012. “El seguimiento de la botnet reveló que al menos 800
ordenadores habían sido infectados con el troyano, y el atacante tenía
al menos 16.194 entradas únicas en su base de datos de credenciales de Facebook el 20 de marzo de 2012”.
Fuente: Csospain
No hay comentarios:
Publicar un comentario