Facebook, News y XSS son la raíz de los complejos ataques a los casilleros del navegador - Calendae | Informática, Electrónica, CMS, Ciberseguridad

Facebook, News y XSS son la raíz de los complejos ataques a los casilleros del navegador

Hola otra vez. Te habla Eduardo Arroyo y hoy vamos a hablar sobre Facebook, News y XSS son la raíz de los complejos ataques a los casilleros del navegador

Facebook, News y XSS son la raíz de los complejos ataques a los casilleros del navegador

Un elaborado conjunto de redireccionamientos y cientos de URL constituyen una estafa de soporte técnico de amplio alcance.

Una sofisticada campaña de «casillero del navegador» se está extendiendo a través de Facebook, lo que eventualmente provocó una estafa de soporte técnico. El esfuerzo es más avanzado que la mayoría porque implica explotar una vulnerabilidad de secuencias de comandos entre sitios (XSS) en un sitio de noticias popular, dijeron los investigadores.

Los casilleros del navegador son un tipo de ataque de redireccionamiento en el que los internautas hacen clic en un sitio, solo para ser dirigidos a una página que les advierte que su computadora ha sido infectada con «un virus» o malware. Luego, la página normalmente solicita a los destinatarios que llamen a un número en pantalla para solicitar «asistencia técnica». Si caen en la trampa, se les conecta a un centro de llamadas donde se les pide que paguen una tarifa para «limpiar» sus máquinas.

Según los investigadores, en una campaña generalizada reciente, los atacantes cibernéticos utilizan Facebook para distribuir enlaces maliciosos que finalmente redirigen a una página de bloqueo del navegador. Los enlaces se pueden propagar a través de juegos de Facebook, señalaron los investigadores de Malwarebytes en una publicación. resumiendo sus resultados el miércoles.

«La campaña que revisamos parece usar únicamente enlaces publicados en Facebook, lo cual es bastante inusual considerando que las estafas de soporte técnico tradicionalmente se propagan a través de publicidad maliciosa», dijo el investigador de Malwarebytes Jérôme Segura.

Facebook envía una ventana emergente a los usuarios, pidiéndoles que confirmen la redirección, pero el destino se ve oscurecido por el hecho de que el enlace es una URL ligeramente abreviada, agregó.

En general, la compañía descubrió 50 enlaces bit.ly diferentes utilizados en la estafa durante un período de tres meses, «lo que sugiere que hay una rotación regular para evitar la lista negra», dijo Segura.

Las URL de bit.ly redirigen a un sitio web peruano llamado RPP, que es «perfectamente legítimo y atrae más de 23 millones de visitas al mes», dijo Segura. Agregó que había reportado el problema al Grupo RPP pero no había recibido respuesta al momento de la publicación.

Descubrió que el sitio contiene un error XSS que permite una redirección abierta. Los redireccionamientos abiertos ocurren cuando los valores de los parámetros (la parte de la URL después de «?») En una solicitud HTTP GET permiten información que redireccionará a un usuario a un nuevo sitio web sin ninguna validación de que el objetivo sea legítimo o previsto. Por lo tanto, un atacante podría manipular ese parámetro para enviar a una víctima a una página falsa, pero la acción parecería ser una acción legítima intencionada por el sitio web.

El flujo de redireccionamiento de la campaña. Click para agrandar. Fuente: Malwarebytes.

«A los amenazantes les encanta abusar de los redireccionamientos abiertos, ya que les da cierta legitimidad a la URL que envían a las víctimas», según los investigadores.

En este caso, los creadores de amenazas usan el error XSS para cargar código JavaScript externo desde buddhosis[.]com, un dominio malicioso controlado por atacantes, que sustituye el código en la URL para crear una redirección.

«El JavaScript, a su vez, crea el redireccionamiento a la página de destino del Browlock utilizando el método replace ()», según el análisis. los método replace () busca una cadena para un valor especificado y devuelve una nueva cadena en la que se sustituyen los valores especificados.

Además de redirigir a los usuarios a otros sitios, un atacante podría aprovechar XSS para reescribir la página actual en lo que quieran, señaló Segura.

En cualquier caso, la página de destino final del casillero del navegador está alojada en uno de aproximadamente 500 dominios «desechables» y con nombres aleatorios que utilizan una variedad de nuevos dominios de nivel superior (como. Home; .site ;. espacio; .club; .icu; o .bar).

Una vez que el usuario accede a la página del casillero del navegador, toma la huella digital del navegador del usuario para mostrar un mensaje apropiado al contexto.

«Muestra una animación que imita un escaneo de los archivos del sistema actual y amenaza con eliminar el disco duro después de cinco minutos», señaló Segura. «Por supuesto que todo esto es falso, pero es lo suficientemente convincente como para que algunas personas llamen al número gratuito para solicitar asistencia».

Los números de teléfono, como las propias páginas, también son voluminosos. Malwarebytes encontró casi 40 números de teléfono diferentes y notó que probablemente hay muchos más.

En general, la cadena de eventos es compleja y lo suficientemente amplia como para ayudar a los actores de amenazas a evitar el cierre. El punto de vista de Facebook también es inteligente, dijo Segura.

Como siempre, la mejor defensa contra este tipo de estafas es el simple conocimiento.

Como punto de partida, «los enlaces publicados en las plataformas de redes sociales siempre deben ser analizados, ya que son una forma comúnmente abusada por estafadores y creadores de malware para redirigir a los usuarios a contenido no deseado», señaló.

.

Puedes compartir en tus redes sociales para que tus colegas lo consulten

??? ? ? ???

Comparte