martes, 1 de mayo de 2018

Qué es FacexWorm y por qué debes tener mucho cuidado


Las redes sociales vuelven a jugar de nuevo un papel fundamental en la distribución de amenazas entre los usuarios. Expertos en seguridad han detectado un malware con el que hay que tener mucho cuidado, sobre todo si manejan criptomonedas desde el equipo. FacexWorm, que así es como se llama, se distribuye haciéndose pasar por una extensión para el navegador web Google Chrome.

Los expertos en seguridad de la empresa Trend Micro han sido los encargados de dar la voz de alarma. Indican que esta amenaza podría estar relacionada con otras dos que se distribuyeron anteriormente utilizando Facebook Messenger. Para ser más exacto, hablamos del pasado mes de abril y de finales de diciembre del pasado año. La funcionalidad es muy similar a la de estas amenazas, aunque salvando las distancias. La principal novedad es que está destinada a robar criptomonedas de los usuarios.

Sería absurdo no reconocer que las criptomonedas han cambiado por completo la forma de programar amenazas. Comenzaron ofreciendo a los ciberdelincuentes una forma de pago que podría considerarse segura. Sin embargo, podríamos decir que se ha convertido en el principal atractivo y en una de las más importantes fuentes de ingresos.

Cómo se distribuye esta amenaza entre los usuarios


La cadena comienza como en la mayoría de ocasiones. Es decir, el usuario recibe un link a través de Facebook Messenger. Con un emoticono que transmite asombro es más que suficiente para que el usuario caiga en el engaño. ¿Qué queremos decir? Los usuarios somos muy curiosos, y al final este es un problema y ventaja para los ciberdelincuentes.

De entrada, hay que decir que la URL que se comparte no pertenece a Youtube. Sin embargo, el usuario es redirigido a este servicio de vídeos. O al menos eso cree. Si te fijas en la URL de la imagen inferior, puedes ver como no es el portal de vídeos de Youtube, sino una copia.


FacexWorm es una extensión falsa de Google Chrome

También se puede observar que el usuario visualiza una notificación en la que se indica que se debe instalar un complemento para visualizar el vídeo. La verdad es que no parece muy lógico que sea necesario esto para acceder a contenidos de Youtube. Sin embargo, habrá usuarios que se lo crean y caigan en el engaño. Es en este punto en el que comienza su actividad FacexWorm.

FacexWorm es una extensión falsa de Google Chrome


Por suerte para los usuarios, esto ya no es tan común. El Gigante de Internet se vio obligado a tomar medidas. A pesar de todo, aún existen casos de extensiones falsas o con un funcionamiento que se podía considerar sospechoso.

En este caso, la función de la amenaza que nos ocupa no es otra que estafar a los usuarios. Para realizar esta operación, se va a ayudar de notificaciones falsas y redirecciones a sitios web falsos. Lo importante es que el cliente pase por caja, invitando a pagar una cantidad pequeña de criptomonedas para verificar la cuenta de diferentes servicios.

De forma complementaria, la amenaza cuenta con lo que podría considerarse un diccionario con palabras clave que los usuarios que están inmersos en el mundo de las criptomonedas utilizan. De esta forma, cuando se detectan, FacexWorm entra en juego y realiza la modificación de la URL a la que en un primer momento se pretendía acceder.

Desde Trend Micro indican que el malware también es capaz de realizar el robo de criptomonedas, modificando las direcciones de los monederos que se utilizan en el equipo. Por el momento, las ganancias conseguidas son escasas o nulas. Tras consultar la dirección que se utiliza para sustituir las legítimas de los usuarios, solo se ha encontrado una cantidad próxima a los 3 martinellis. Es cierto que apenas lleva unos días de actividad, pero no parece que esta amenaza esté marcada por el éxito.