VULNERABILIDAD IMAGEGATE PUEDE INSTALAR RANSOMWARE LOCKY EN IMAGENES LINKEDIN Y FACEBOOK

Publicado el 26 noviembre 2016 ¬ 18:00 pmh.mscComentarios desactivados en VULNERABILIDAD IMAGEGATE PUEDE INSTALAR RANSOMWARE LOCKY EN IMAGENES LINKEDIN Y FACEBOOK

Conocido ya como ImageGate, los expertos en seguridad han detectado esta semana que los ciberdelincuentes se han bastado de una vulnerabilidad existente en ambas plataformas para forzar a los usuarios a descargar imágenes. Esto no sería peligroso si no fuera porque en el interior del código que genera la imagen se ha incluido otro que descarga la amenaza Locky.

Indican que se trata de un problema de seguridad que no muestra siempre el mismo comportamiento. Esto quiere decir que en algunas ocasiones la imagen se descarga al acceder a determinados perfiles, mientras que en otros casos esta solo llegará al equipo si el usuario hace click en ella.

Lo verdaderamente curioso de todo esto, es que no solo afecta a la madre de las redes sociales, sino también a LinkedIn.

Cuando el usuario detecta la descarga de la imagen y la abre, se ejecuta también un script contenido en la misma, siendo este último el encargado de realizar la descarga de Locky. La versión que nos ocupa en esta ocasión afecta única y exclusivamente a usuarios con sistema operativo Windows.


La vulnerabilidad todavía no ha sido resuelta

Es bastante habitual hablar de fallos de seguridad en plataformas a posteriori, es decir, cuando los responsables han encontrado la solución. En esta ocasión las dos plataformas continúan afectadas por el mismo, de ahí que desde Check Point (la empresa encargada de llevar a cabo el descubrimiento) hayan rechazado revelar detalles técnicos, o al menor por el momento. De esta forma quieren evitar poner las cosas mucho más fáciles a los ciberdelincuentes.

A la hora de distribuir el código, se están ayudando de archivos SVG, JS y HTA, que se están camuflando a la vez como archivos de imagen. Esto quiere decir que resulta más que se estén ayudando de dobles extensiones para así ocultar en realidad la que en realidad caracteriza al archivo.

Los expertos en seguridad han realizado un análisis minucioso de la amenaza, antes de enviar la información que han creído necesaria a ambas redes sociales. Cuando el archivo con una extensión de las mencionadas con anterioridad se ejecuta en Windows, se realiza un contacto con un servidor online, realizando la descarga de una copia de este ransomware tan popular. El resto es de sobra conocido, instalándose, cifrando los archivos y solicitando una recompensa. Por suerte para los usuarios, se trata de una versión ya conocida y las herramientas de seguridad consiguen detectarla de forma eficaz.

 

– Ver información original al respecto en Fuente:
http://www.redeszone.net/2016/11/26/distribuyen-locky-facebook-linkedin-traves-imagenes/#sthash.rxNa077P.dpuf

 

COMENTARIO:

Como sea que las extensiones en las que acostumbra a venir este ransomware son SVG, JS o HTA, se recuerda que, menos en windows 10, en el que Microsoft ya no oculta las extensiones de los ficheros, pero tanto en el windows 7 como en el 8, que por defecto windows oculta las extensiones, con este ransomware acostumbran a ponerles doble exensión, por ejemplo .jpg.svg, o .pdf.hta, o txt.js , para parecer ficheros exentos de virus, como son normalmente los jpg, pdf o txt, por lo que se recomienda que si se recibe un fichero ZIP en cuyo interior haya un aparente fichero “inocente”, debe revisarse que no tenga doble extensión y no tenga ocultas realmente alguna de las extensiones indicadas.

saludos

ms, 25-11-2016

 

 

Mas información al respecto sobre vulnerabilidad IMAGEGATE :

La empresa de seguridad apunta que los ciberdelincuentes aprovechan estas vulnerabilidades para descargar automáticamente en el ordenador de la víctima un archivo de imagen infectado. En algunos casos el usuario debe hacer clic sobre la misma –en el caso de Facebook ubicada a la derecha, justo arriba de la pestaña de contactos en la versión web-. Cuando el sujeto intente abrir la imagen, se instalará el malware Locky.

En concreto se trata de un problema que afecta tanto a la red social de Facebook como a la comunidad de contactos profesionales LinkedIn y que está siendo explotado por los ciberdelincuentes para tratar de infectarnos del ransomware Locky partiendo de una imagen. Un bug que todavía no ha sido solucionado por parte de ninguna de ellas.

Fuente de la última información arriba indicada: http://www.genbeta.com/seguridad/aprovechan-un-bug-de-facebook-para-insertar-imagenes-con-las-que-infectarte-de-ransomware

 

ms.

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Noticias, Redes sociales, , , , ,

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies