El spam y el ransomware son las formas más comunes de cibercrimen que se encuentran hoy en día. Los registros del FBI sugieren que ha habido $ 1 mil millones de dinero asegurado por ciberdelincuentes solo en 2016. Por peligrosos e imposibles de rastrear que sean estos crímenes, encontrarlos en sitios conocidos y confiables los hace aún más peligrosos. Esta vez, los spammers han apuntado a Facebook.

Facebook ha sido marcado en cuarentena después de ser víctima de un ataque de ransomware que se ha extendido como un incendio forestal en la red social. La notoria campaña de spam implica la difusión del descargador de malware Nemucod entre los usuarios, que en algunos casos se vio descargando el ransomware Locky. Para empeorar las cosas, no hay un programa de descifrado gratuito disponible para Locky.

Se sabe que el ransomware Locky bloquea una computadora infectada, encripta sus archivos y luego los rescata por un pago de Bitcoin. Todavía no existe una solución concreta desarrollada para el cifrado de Locky, por lo que los usuarios tienen pocas esperanzas de recuperar el daño.

La amenaza fue detectada por dos miembros del personal de seguridad especializados en delitos y malware basados ​​en Internet, Bart Blaze. quien maneja Threat Intelligence para la compañía multinacional de servicios financieros PricewaterhouseCoopers y Peter Kruse. un especialista en eCrime para el danés CSIS Security Group A / S. El peligro se generó en forma de mensajes de spam difundidos a través del sistema de mensajería instantánea de Facebook.

El virus evadió la lista blanca de Facebook al pretender ser un archivo de imagen.SVG y fue enviado desde cuentas de Facebook comprometidas. Los archivos infectados, a diferencia de otros tipos de archivos comunes, tienen la capacidad de contener contenido incrustado como JavaScript y se pueden abrir en un navegador moderno. La razón por la que los delincuentes optaron por compartir imágenes SVG es porque está basada en XML y permite contenido dinámico, por lo que fue más fácil ocultar el código JavaScript dentro de la foto, que en este caso era un enlace a un archivo externo.

Abrir el archivo infectado redirige a los usuarios a un sitio de spam, una versión imitación de YouTube. El sitio web no levanta ninguna señal de alerta hasta que solicita a los usuarios que instalen una extensión de códec malicioso de Chrome para ver el video. Al permitirlo, la extensión no comprobada le dará la capacidad de alterar los datos del usuario con respecto a los sitios que visita.

Según lo informado por Blaze, la extensión también difundirá el malware en Facebook, comprometiendo la cuenta de la víctima. Los spammers pueden hacerse cargo de su cuenta y difundir aún más el malware entre sus amigos de las redes sociales enviándoles mensajes de spam con el mismo archivo de imagen SVG.

Medidas de seguridad

Para empezar, y este es bastante obvio: no haga clic en ningún archivo SVG. Si sus allegados le envían un mensaje con el ransomware adjunto, debe advertirles CUANTO ANTES de que su cuenta está comprometida.

Niegue la instalación de la extensión de Chrome e incluso si de alguna manera hace clic en el archivo SVG, una forma de revertirlo es ir al menú, navegar a 'Extensiones' a través de Seleccionar más herramientas, encontrar la extensión y luego eliminarla antes de que Necumod infecte su sistema.

El siguiente paso sería descargar un poderoso software de seguridad de Internet. System Watcher es una de las herramientas más confiables para abordar el problema, desarrollada por Kaspersky Lab. System Watcher está disponible en todos los productos principales de Kaspersky Lab, como Kaspersky Anti-Virus, Kaspersky Internet Security y lo último en seguridad informática, Kaspersky Total Security.

Pero si ha superado esto, el barco de seguridad ha navegado y lo máximo que puede hacer ahora es limpiar su disco duro para deshacerse del ransomware Locky y ser más juicioso con las extrañas imágenes de Facebook la próxima vez.