English
Español
[REAL VIDEO].....Secuestro de “Me gusta” a través de supuesto video de YouTube !!!
El día de hoy se publicó una noticia en el portal de la SSI-UNAM-CERT que hace referencia a una nueva amenaza de likejacking en Facebook. Al buscarla en la red social, se trataba de un supuesto video, detectamos que varios usuarios habían sido afectados y algunos enlaces todavía se encontraban activos.
El enlace principal, como se especifica en la noticia, redirige al sitio http://www.videotonight.info, en el cual aparece un supuesto video de la empresa YouTubO.... ¿YouTubo?
Este nombre generó nuestras sospechas respecto a la autencidad del sitio y su contenido.
Al revisar el código fuente de la página, encontramos una etiqueta iframe responsable de cargar el archivo girl_video.php.
Descargamos este archivo y pudimos determinar varios elementos interesantes:
1) Encontramos que en cierta parte del código se hacía una verificación del idioma del navegador y de acuerdo a éste, se terminaba el mensaje principal del video. Lo más probable es que el creador del sitio no haya tenido tiempo de crear las páginas para cada uno de los idiomas que contempló en su código, porque sólo hallamos sitios con el mensaje en inglés y en español.
Esta verificación la realizó con JavaScript para los idiomas: inglés, francés, alemán e italiano
Las páginas con el mensaje en inglés y español se muestran a continuación...
2) Dentro del código se encontró el enlace de la imagen de la chica de los mensajes de Facebook; además del enlace de la imagen de YouTubO y un tercer enlace del cual hablaremos más adelante.
La imagen de la chica se encuentra en: http://img534.imageshack.us/img534/623/dancepg.jpg
La imagen de YouTubo en: http://www.clickbomb.net/youtube5.jpg
3) Se encontró otro enlace dentro de un iframe que hacía referencia al script like.php, muy común en los enlaces de "Me gusta" en Facebook. Automáticamente, esto nos hace pensar que al no aparecer visible en la página del video, lo más probable es que se encuetre oculto detrás. Esto se conoce como secuestro de "Me gusta" o "likejacking".
Para comprobar, accedimos a una cuenta de prueba e hicimos clic en el botón "Play" del supuesto video. Desafortunadamente, la chica no comenzó su baile y sólo obtuvimos una publicación del enlace malicioso en nuestro perfil. Lo más destacable de este ataque, es que la aplicación que tuvo acceso a nuestro perfil no mostró el cuadro de autorización que comúnmente muchas otras sí muestran.
Si se ha sido vícitma de este ataque, es muy importante eliminar la publicación del muro a fin de evitar que nuestros amigos caigan en el engaño y que se siga propagando...
Para finalizar, en el código del archivo girl_video.php, detectamos un tercer enlace que hacía referencia a otro archivo php llamado reverse.php y a su vez, dentro de éste se efectuaba una redirección hacia el script reverse2.php. Al cargar el enlace, se abrió otro supuesto video (muy parecido al primero).
En esta ocasión, apareció un mensaje mencionando que el video está bloqueado y que para poder verlo es necesario contestar un "cuestionario", así como confirmar la dirección de correo electrónico del usuario.
Al parecer este fue otro vector de ataque del creador del sitio, para obtener ciertas ganancias de todas las personas que llegaran a contestar las encuestas. Después de "completar" una encuesta, o por lo menos hacer clic en cualquiera de los enlaces, el video era desbloqueado y también se podía ser víctima del likejacking.
La efectividad de este tipo de ataques se basa en la capacidad que el creador del sitio tenga para atraer a los usuarios, los videos de “mujeres sexies” son un muy buen anzuelo. Desafortunadamente, las medidas de seguridad implementadas por Facebook para evitar este tipo de ataques, siguen sin tener el efecto deseado: proteger a los usuarios.
Para ello, puede considerarse emplear herramientas, como la extensión NoScript para Firefox, las cuales son capaces de detectar la mayoría de estos ataques:
