Zynga Poker
La compañía de seguridad informática ESET ha publicado un informe en el que alerta de los efectos de una red de ordenadores ‘zombis’ (‘botnet’) llamada ‘PokerAgent‘, descubierta hace un año y ya se encuentra en gran parte inactiva, y que habría comprometido cerca de 16.000 contraseñas, fundamentalmente en Israel.
Se trata de una modalidad de ataque que demuestra cómo se están utilizando ‘botnets’ con técnicas de ‘phishing’ (engaños con señuelos aparentemente legítimos, como publicaciones falsas en el muro de una cuenta) para robar datos personales en las redes sociales.
En su análisis, el investigador de ESNET Robert Lipovsky destaca que la ‘botnet’ ‘PokerAgent’ está diseñada con una doble finalidad. Por un lado, busca robar nuevas contraseñas de acceso a Facebook y, por otro, rastrea datos de las tarjetas de crédito ligadas a cuentas de dicha red social y estadísticas de los jugadores de ‘Zynga Poker‘, el servicio de póquer ‘online’ más popular de Facebook.
Según los datos de ESET, Israel es el país en donde la amenaza ha sido mayor, con 800 ordenadores infectados y más de 16.000 credenciales de Facebook robadas. No obstante, la compañía aclara que esta cifra no se corresponde exactamente con el número de credenciales válidas robadas, ya que puede haber muchas más«, y además reconoce que «no todas las entradas de la base de datos de credenciales de Facebook en poder del atacante eran válidas».
Troyano MSIL/Agent.NKY
El origen de esta red de ordenadores ‘zombis’ se encuentra en varias versiones de un troyano llamado genéricamente MSIL/Agent.NKY.
La nota de ESET afirma que «el troyano está programado para iniciar sesión en una cuenta de Facebook y conseguir la siguiente información: las estadísticas de ‘Zynga Poker ‘de la cuenta en cuestión y el número de métodos de pago (por ejemplo, tarjetas de crédito) almacenadas en la cuenta de Facebook».
Para ello, usaba nombres y contraseñas robados para publicar en el muro de ‘amigos’ contenidos como falsas noticias de prensa sensacionalista. Cada imagen tiene un enlace HTML a una página falsa de Facebook en la que hay que iniciar sesión de nuevo, y así se amplía la base de posibles víctimas. El troyano es capaz de detectar si hay información de tarjetas de crédito vinculadas a la cuenta o estadísticas de Zynga Poker mediante una función llamada ‘ShouldPublish’, de modo que si no detecta ningún dato al respecto sigue buscando más víctimas.
«Con el fin de determinar el número de formas de pago vinculadas a la cuenta de Facebook, el atacante primero tiene que entrar en esa cuenta, utilizando el nombre de usuario y contraseña que ya están en poder del atacante», aclara la nota. «Entonces, el troyano busca en https://secure.facebook.com/settings?tab=payments§ion=methods y simplemente consigue el número que hay entre las etiquetas HTML en la cadena «You have X payment methods saved» que se devuelve en HTML».
Esta red tiene una manera peculiar de funcionar, afirma ESET. «A diferencia de otros troyanos que hemos visto propagarse frecuentemente por Facebook, éste no intenta entrar ni interferir con la cuenta de Facebook del usuario que está infectado, de hecho, podría no tener una cuenta en Facebook. La ‘botnet’ sirve más bien como un ‘proxy’, por lo que las actividades ilegales -las tareas ordenadas a los ‘bots’- no se ejecutan fuera del ordenador infectado».
En busca de víctimas ‘valiosas’
En última instancia, parece que esta ‘botnet’ está diseñada para localizar usuarios de Facebook ‘potencialmente atractivos’ para convertirse en víctimas de robos. «El código sugiere que el atacante busca usuarios de Facebook con cosas de valor que merezcan la pena robar, determinándolo por las estadísticas del juego de póquer y los datos de la tarjeta de crédito almacenados en su cuenta de Facebook», reza el informe. «Posteriormente», añade, «el ‘cibercriminal’ puede usar para sí los datos de la tarjeta de crédito o quizá vender la base de datos a otros delincuentes».
El caso fue comunicado las autoridades de Israel. «Los detalles de la investigación no pueden ser hechos públicos por razones de confidencialidad», afirma ESET. También Facebook fue notificado, de modo que la popular red social ha restablecido las contraseñas de las cuentas comprometidas y «ha tomado medidas preventivas para frustrar futuros ataques a las cuentas de secuestrados».
Hay que destacar que, según la compañía de seguridad que ha publicado este informe, «Facebook ha implementado varios mecanismos para mejorar la seguridad de sus usuarios«. «En concreto, el doble factor de autentificación podría haber evitado que los ‘bots’ entraran en las cuentas de Facebook de las víctimas», apunta.
ESET ha aprovechado este informe para insistir en una serie de recomendaciones de seguridad básicas, tales como el uso de un antivirus actualizado, estar alerta ante posibles páginas web falsas (muchas veces basta con comprobar la URL), o restringir la costumbre de dejar al navegador que ‘recuerde’ nuestras contraseñas, entre otras medidas.
vía elmundo.es.