Icono del sitio SpamLoco

Mensaje Confidencial en Facebook – Spam con enlace malicioso

En la siguiente captura se puede ver un correo falso de Facebook que simula ser la notificación de un nuevo mensaje privado. Al hacer clic sobre las imágenes se inicia la descarga de un troyano que de momento tiene una tasa de detección bastante baja 2/42 en VirusTotal:

El archivo se encuentra alojado en un sitio .com.co que fue vulnerado, esto se puede ver claramente al pasar el puntero sobre los enlaces, sin necesidad de hacer clic. Esta es una buena práctica para descartar mensajes falsos en caso de dudas, pues si el destino es una URL extraña que no tiene sentido como en este caso, seguramente estemos ante un ataque de spam y phishing.

Sin embargo, hay que tener cuidado con todos los enlaces, a veces se parecen mucho a los reales y cuando se trata de Facebook es posible camuflarlos bajo el propio dominio www.facebook.com lo cual a primera vista puede llegar a engañar a más de uno.

Ej: www.facebook.com/l.php?u=URL%2F&h=X

Este es el formato que tiene el redireccionador de enlaces en Facebook. La variable u= indica la URL o dirección de destino, la X al final es un código que se genera automáticamente para cada enlace, sin embargo la variable «u» puede ser cambiada por cualquier URL y aún así el redireccionamiento funcionaría.

De esta forma se podría camuflar una página maliciosa bajo el dominio real de Facebook, esto no es nada nuevo, se conoce desde hace tiempo y algunos atacantes lo utilizan para engañar. Simplemente se los comento para que estén prevenidos y no se confíen del todo al ver que un enlace recibido por correo o chat comienza con www.facebook.com.

Salir de la versión móvil