Dicen que la curiosidad mató al gato. En eso se basa un nuevo malware que hace cuatro días infectó en 48 horas a 10.000 cuentas de Facebook en todo el mundo partiendo de Brasil, y que los expertos en antivirus digitales de la compañía Kaspersky Lab han estado estudiando desde el 26 de junio.

Infección en dos fases

La firma ha explicado el Modus Operandi del malware, que opera en dos fases. La Fase 1 comienza con un mensaje enviado por uno contacto diciéndonos que nos ha mencionado en un comentario. Cuando le damos a esa mención, automáticamente un archivo infectado reemplaza nuestro navegador por una pestaña que incluye una pestaña a la verdadera página de logueo de la red social. De esta forma el malware atrae al usuario a Facebook.

Si cometemos el error de entrar e iniciar sesión, en ese momento nuestra sesión es 'secuestrada' y un archivo se descarga en segundo plano. Este es el comienzo de la Fase 2, ya que en el archivo bajado viene un script que nos piratea la cuenta y viene con herramientas que cambian los ajustes de privacidad, extraen datos de nuestro ordenador, provocan bombas de Spam o correo basura, roban la identidad y generan Likes y Shares fraudulentos. Y lo peor es que también envía un correo con el malware camuflado a todos nuestros contactos.

Por todo el globo

A día de hoy, Facebook ha mitigado la amenaza usando técnicas de bloqueo para impedir que el malware de ordenadores infectados se expanda, y ha señalado que no se ha vuelto a ver un intento de infección con esta técnica de momento. El virus ha dado la vuelta al mundo y afectado a Polonia, Perú, Colombia, México, Ecuador, Grecia, Portugal, tunez, Venezuela, Alemania, Israel y Brasil, que ha sido la más afectada.

Aquí en el blog de SecureList tenéis un análisis de la forma en que el malware ha infectado los diferentes procesos y extendido por todo Facebook, comenzando por la citada mención y a la vez la curiosidad del usuario por saber qué ponía el comentario en el que había sido citado.