PokerAgent y el robo de 16.000 contraseñas de Facebook
Denominado genéricamente MSIL/Agent.NKY, ESET asegura que en el último año ha detectado diferentes variantes del troyano. “Tras el descubrimiento inicial, fuimos capaces de encontrar otras variantes del troyano, unas más antiguas y otras más modernas. También se consiguieron estadísticas de detección, que revelaron a Israel como el país con mayor actividad del código malicioso”.
Así, el procedimiento de este virus es el siguiente: “cuando el bot se conecta al centro de mando y control, le solicita tareas para llevar a cabo. Una de esas tareas equivale a un usuario de Facebook. El troyano está programado para iniciar sesión en una cuenta de Facebook y conseguir las estadísticas de Zynga Poker de la cuenta de Facebook en cuestión y el número de métodos de pago, como, por ejemplo, las tarjetas de crédito almacenadas en la cuenta de Facebook”, destaca la firma.
Asimismo, y tal y como señala ESET, “hay que tener en cuenta que para hacer la consulta el atacante solo necesita el identificador numérico de la cuenta de Facebook y un parámetro válido firmado por la aplicaciónZynga Poker. En diferentes versiones del bot hemos detectado que se usaban diferentes parámetros. Con el fin de determinar el número de formas de pago vinculadas a la cuenta de Facebook, el bot primero tiene que entrar en esa cuenta, utilizando el nombre de usuario y contraseña que ya están en poder del atacante”.
ESET recomienda a los usuarios que, para evitar males mayores, se sea muy cauto a la hora de almacenar datos de tarjetas de crédito en una aplicación, “no sólo en Facebook”.
Una vez que el bot tiene la información, el sistema infectado puede llevar a cabo diversas tareas en nombre de la víctima, tales como publicar enlaces en el muro del usuario de Facebook, con lo que se redirigen a amigos del usuario de Facebook a páginas falsas, “independientemente del tema de la página a la que redirigen, todas tienen un factor común: cada imagen tiene un enlace HTML a una página falsa de Facebook en la que iniciar sesión De nuevo, se han ido usando diferentes URL a lo largo del tiempo”.
En total, ESET ha encontrado 36 versiones distintas de “PokerAgent” con fechas de compilación comprendidas entre septiembre de 2011 y marzo de 2012. “El seguimiento de la botnet reveló que al menos 800 ordenadores habían sido infectados con el troyano, y el atacante tenía al menos 16.194 entradas únicas en su base de datos de credenciales de Facebook el 20 de marzo de 2012”.
Denominado genéricamente MSIL/Agent.NKY, ESET asegura que en el último año ha detectado diferentes variantes del troyano. “Tras el descubrimiento inicial, fuimos capaces de encontrar otras variantes del troyano, unas más antiguas y otras más modernas. También se consiguieron estadísticas de detección, que revelaron a Israel como el país con mayor actividad del código malicioso”.
Así, el procedimiento de este virus es el siguiente: “cuando el bot se conecta al centro de mando y control, le solicita tareas para llevar a cabo. Una de esas tareas equivale a un usuario de Facebook. El troyano está programado para iniciar sesión en una cuenta de Facebook y conseguir las estadísticas de Zynga Poker de la cuenta de Facebook en cuestión y el número de métodos de pago, como, por ejemplo, las tarjetas de crédito almacenadas en la cuenta de Facebook”, destaca la firma.
Asimismo, y tal y como señala ESET, “hay que tener en cuenta que para hacer la consulta el atacante solo necesita el identificador numérico de la cuenta de Facebook y un parámetro válido firmado por la aplicaciónZynga Poker. En diferentes versiones del bot hemos detectado que se usaban diferentes parámetros. Con el fin de determinar el número de formas de pago vinculadas a la cuenta de Facebook, el bot primero tiene que entrar en esa cuenta, utilizando el nombre de usuario y contraseña que ya están en poder del atacante”.
ESET recomienda a los usuarios que, para evitar males mayores, se sea muy cauto a la hora de almacenar datos de tarjetas de crédito en una aplicación, “no sólo en Facebook”.
Una vez que el bot tiene la información, el sistema infectado puede llevar a cabo diversas tareas en nombre de la víctima, tales como publicar enlaces en el muro del usuario de Facebook, con lo que se redirigen a amigos del usuario de Facebook a páginas falsas, “independientemente del tema de la página a la que redirigen, todas tienen un factor común: cada imagen tiene un enlace HTML a una página falsa de Facebook en la que iniciar sesión De nuevo, se han ido usando diferentes URL a lo largo del tiempo”.
En total, ESET ha encontrado 36 versiones distintas de “PokerAgent” con fechas de compilación comprendidas entre septiembre de 2011 y marzo de 2012. “El seguimiento de la botnet reveló que al menos 800 ordenadores habían sido infectados con el troyano, y el atacante tenía al menos 16.194 entradas únicas en su base de datos de credenciales de Facebook el 20 de marzo de 2012”.
Comentarios
Publicar un comentario