341 meneos
7737 clics

Aprovechan un bug de Facebook para insertar imágenes con las que infectarte de ransomware

...En concreto se trata de un problema que afecta tanto a la red social de Facebook como a la comunidad de contactos profesionales LinkedIn y que está siendo explotado por los ciberdelincuentes para tratar de infectarnos del ransomware Locky partiendo de una imagen...
etiquetas: ransomware, facebook, locky
136 205 9 K 450 tecnología
Comentarios destacados:                   
#36   ¿Esta es la clásica vulnerabilidad de un formato de archivo que se anuncia "vulnerabilidad de Facebook/LinkedIn" por que atrae más visitas que "vulnerabilidad de svg"?
#1   No sabía que los SVG pueden llevar código ejecutable embebido… www.quora.com/What-are-the-least-known-usages-of-SVG
votos: 9    karma: 74
#8   #1 Entonces es una vulnerabilidad de svg, introducida por los que diseñaron el estandar svg y sus protocolos, y que fue introducida despues en los navegadores y sistemas operativos que ejecutaban o visualizaban svg.

www.w3.org/TR/SVG/
www.w3.org/standards/techs/svg

www.google.es/search?q=svg+vulnerabilities

Quien o quienes interaccionaron en el diseño y operativa de esta vulnerabilidad. Los que diseñaron el estandar, y los que diseñaron e implementaron la compatibilidad con el estandar.
votos: 12    karma: 110
#26   #8 tienes toda la ransom
votos: 18    karma: 113
#39   #8: Yo lo que me pregunto es qué necesidad hay de implementar "tantas funcionalidades" en un formato que en teoría era para hacer dibujos vectoriales y poco más. >:-(
votos: 4    karma: 43
#42   #39 Para animarlo dentro del propio archivo si tener javascript externo por ejemplo... Ya, una chorrada seguridad/funcionalidad. Se acabará eliminando.
votos: 0    karma: 7
#59   #42: Si, pero permitir la ejecución de JS hasta el punto de tomar ficheros del usuario... que no me parece tan difícil implementar una capa que a ciertos scripts se les impida de cualquier forma el acceso a los ficheros del ordenador, es decir, si es una animación, que sólo puedan tocar el propio fichero SVG.
votos: 1    karma: 18
#69   #59 Totalmente de acuerdo, yo creo que lo habilitaron y luego ya se verá xD xD
votos: 1    karma: 18
#76   #69 ¿Qué podría ir mal? :troll:
votos: 0    karma: 7
#57   #8 Llamadme loco. Pero a lo mejor también tienen culpa los que decidieron fiarse de los usuarios porque "solo subían una imagen", en vez de reconvertirlas y limpiarla como hacen con los metadatos en otros sitios. Que menos que haberse leído el estándar a ver que estaban almacenando en sus maquinas... vamos, digo yo.
votos: 4    karma: 41
#58   #57 Loco.
Pero tambien tienes razón.
Impacto y dimensión del impacto de cada acción.
Atomicidad de la cadena de acontecimientos y commits
votos: 0    karma: 11
#2   Difruten de lo likeado.
votos: 4    karma: 52
#3   Noscript + Privacy Badger+ uBlock Origin y no me enterado de la imagen ni del vínculo invisible, símplemente porque ni aparece...

Salu2
votos: 11    karma: 37
#4   #3 Mac y tampoco me he enterado.
votos: 8    karma: 65
#16   #4 Amstrad CPC 6128 y tampoco me he enterado.
votos: 44    karma: 318
#17   #16 calla, tu tendrías que estar jugando al bomb jack.
votos: 3    karma: 30
#27   #17 Gran juego, pero yo prefiero el manic miner.
votos: 2    karma: 23
#29   #27 años llevaba pensando en ese juego sin saber su nombre. Pero la cuestión es, si tienes un Amstrad no lo tires! A mi me lo tiraron mis padres solo porque se le estropeó la disquetera :'(
votos: 0    karma: 11
#31   #17 yie ar kung fu. Aunque bomb jack era una pasada.
votos: 4    karma: 46
#35   #31 voy a echar una partida en el ordenador para recordar viejos tiempos.
votos: 2    karma: 35
#48   #31 ¡Aún lo tengo, con la caja y todo!
votos: 1    karma: 18
#68   #48 Yo lo tengo ahí ocupando espacio en un armario de casa de mis padres :-D
votos: 1    karma: 17
#44   #16 Yo tengo el 464 pero me he debido infectar porque lo veo todo verde :shit:
votos: 2    karma: 23
#77   #16 Telepatía, y tampoco me he enterado. :troll:
votos: 0    karma: 7
#84   #16 Windows 7 sin antivirus, anti-spyware ni anti-pollas y tampoco me he enterado.
votos: 0    karma: 6
#38   #4 Pues siento mucho contradecirte porque, para mi sorpresa también, el viernes pasado conocí un caso de 5 macs infectados con este virus. Suerte que tenía los documentos en dropbox y le restauraron una copia anterior.
votos: 5    karma: 38
 *   KiKiLLo KiKiLLo
#10   #3 El día que os hackeen el noscript, el privacy badger o el uBlock no tendrás esos aires de superioridad...
votos: 10    karma: 87
#18   #10 algunos tenemos otras dos capas mas con el /etc/hosts y con un sistema operativo serio.
votos: 10    karma: 103
#21   #10 ¿Qué te impide instalártelos? Son gratuitos.

Quizás el "aire de superioridad" que describes no es más que perplejidad por no entender que, habiendo las herramientas disponibles para protegerse, los demás usuarios no lo hagan.

Es como si follaras a pelo y tu chica tuviera un retraso en la regla y yo te dijera: "Pues yo uso preservativo y me ahorro esos sustos" y me saltaras "el día que alguien te pinche el condón se te quitará ese aire de superioridad". WTF? xD xD

cc #3
votos: 15    karma: 137
#33   #21 la comparación es absurda.

No es como usar preservativo poniemdo noscript, es como usar la abstinencia Católica para prevenir ets y embarazos.

Si nos ponemos así tendremos que navegar por.consola con el Unix porque un puto sysadmim crea que es cool.
votos: 7    karma: 42
#46   #33 No. La "abstinencia católica" sería no usar nunca internet.
votos: 4    karma: 40
#81   #46 O usarlo en redes pedófilas. :troll:
votos: 0    karma: 7
#80   #33 No estoy de acuerdo, en parte, y digo en parte porque usar noscript no es para cualquier usuario. Hay mucha gente que parece que es informática o que cacharea con cómo funcionan ordenadores pero no todos son así, ni a todos les interesa, así como quizás yo tenga algunos conocimientos de informática pero me la suda lo que pasa dentro de mi coche, ya lo llevo al taller y que se apañen allí. No todos vamos a saber de todo.

Y otra vez, digo en parte, porque tu ejemplo es totalmente extremo, yo uso noscript y la mayoría de sitios funcionan perfectamente. Solo en pocos sitios de confianza tengo scripts activados, eso sí, si alguien usa facebook probablemente lo desactive noscript y otros complementos en ese sitio.
votos: 0    karma: 7
#28   #10 luego tb está algo que puedes hacer en tu windows: irte a opciones de carpeta y darle a Ver -> mostrar siempre extensiones de archivo.
votos: 1    karma: 22
#45   #10 No me creo superior a nadie símplemente sé usar unas herramientas o complementos para mi navegador, para paliar las pifiadas que meten otros. Básicamente porque si no hubiese vulnerabilidades los expertos en seguridad/hackers no tendrían porqué repararlas y los crackers o black-hat hackers no podrían daña un sistema o robar datos de él.

#43 NoScript sí bloquea scripts SVG. Todo lo que sea javascript lo bloquea. Como perfectamente dice en su comentario #19 ailian, aparece bloqueado.

Salu2
votos: 1    karma: 24
#53   #45 Y crees que tus complementos tienen menos vulnerabilidades porque los hacen seres de luz.
votos: 0    karma: 9
#61   #53 parece que te falla la comprensión. Noscript se actualiza a menudo por lo que no es la única protección. Ahora si tienes noscript ublock y privacy badget (este ultimo dudo que haga algo contra exploits pero siempre es bueno bloquear cosas innecesarias) pues es mucha mas segura tu navegación y justamente Navegas de verdad. Con toda la publicidad que vosotros tenéis que soportar estáis navegando entre basura. Es como vivir en un estercolero desnudo o vivir en una casa. Obviamente tb puedes pillar un infección en tu casa pero digamos que no es igual de probable que en el estercolero.

Pero bueno tb hay que agradecer vuestro pasotismo. Vosotros pagais internet para que otros lo podamos usar sin preocupaciones.
votos: 1    karma: 22
#85   #53 No, símplemente que tengo más protección, en principio que los que no los usan. Es más ahora mismo estoy testeando la versión de desarrollo de NoScript, unido a que soy betatester de Mozilla (somos unos cuantos), como ya dijera. Envío cualquier problema o fallo, para que lo arreglen y así no aparezca en la versión final y sea menos vulnerable la susodicha.

No hay nada infalible, aunque tengo que reconocer que Giorgio Maone, creador de NoScript, es una persona que hace un gran esfuerzo por corregir los fallos en un tiempo más que aceptable (a veces horas).

Salu2
votos: 0    karma: 11
#78   #10 Es posible pero al final tiene mucho que ver con mejorar la probabilidad de ser vulnerable. Si navegas por sitios de confianza lo normal es que aceptes la ejecución de scripts, así que igual no es tan relevante que tengas o no noscript.
votos: 0    karma: 7
 *   Arth
#19   #3 De hecho sí aparece, bloqueado por NoScript.

Ya me parecía raro que hubiesen esas cosas por ahí insertadas, no me sonaba que estuvieran antes.
votos: 2    karma: 32
#23   #3 yo uso noscript, cookie monster y adblock plus pero realmente la mejor protección es no usar Facebook, asi tb me ahorro los jpg motivadores jejejeje
votos: 3    karma: 35
#70   #23 Y las putas fotos de bebés con estrellitas y mensajes "monos". Y las malditas cadenas de "ayuda este pobre niño con parálisis de esfínter haciendo click".
votos: 1    karma: 11
#32   #3 usa no navegador+ no Internet.
votos: 0    karma: 7
#43   #3 ninguno de esos bloquea scripts en svg por lo que podrías srr infectado igual
votos: 2    karma: 23
#67   #3 no Facebook y te despreocupas de las noticias negativas de casa semana sobre esa porquería
votos: 0    karma: 8
 *   Lonegan Lonegan
#79   #3 Enhorabuena
votos: 0    karma: 10
#5   Según ví te sale una ventanita de descarga de una imagen pero en la extensión se ve que una imagen no es, si se tiene el navegador para que ya descargue automáticamente sin confirmación pues.... ahí ya si que creo que no se puede hacer nada
votos: 1    karma: 16
#51   #5 Salvo quitar la descarga automática :troll:
votos: 0    karma: 8
#6   Locos de Facebook...menos dar likes y rezar "amén" en posts donde salen bebés enfermos, amputados, etc y más compartir fotos de gatítos.
votos: 1    karma: 20
#11   #6 Sí, el algoritmo de 'Edge Rank' debería ser más severo en ese aspecto en lugar de penalizar el exceso de texto en las imágenes...
votos: 2    karma: 9
#7   ¿Es una vulnerabilidad de facebook o lindedin o de los navegadores webs y sistemas operativos que utilizan los usuarios para navegar por las webs de facebook o linkedin?

Da la casualidad de que linkedin fue comprada por microsoft que es el propietario de windows que será uno de los sistemas afectados.

O es una vulnerabilidad de los propios protocolos y formatos y la forma que los manejan los navegadores y s.o.

Puede ser una vulnerabilidad de linkedin, de svg, del navegador, de la librería para operar con svg, o del sistema operativo.

La posibilidad de explotar esta vulnerabilidad, se podria detener, parchear o limitar (una contramedida o workaround) en cualquiera de esos "intermediarios".
votos: 2    karma: 30
#12   #7 En el vídeo se ve como le envían un archivo por chat y el usuario lo guarda y lo ejecuta, así que aparte de que facebook no escanee todos los archivos enviados en busca de virus no veo mas responsabilidad...
votos: 3    karma: 32
#9   Fascinante cómo los mecanismos que describió Darwin funcionan también en un entorno que no existía en el siglo XIX.
votos: 1    karma: 22
#13   Bueno, como cada vez que leo una noticia así me alarmo ¿De verdad pueden instalar algo sin permiso? Y nuevamente no. Nuevamente no es una vulnerabilidad de la web, si no de la estupidez del usuario.

-Te tienes que descargar el archivo.
-Le tienes que dar a ejecutar (y eso que el icono precisamente no es el de una imagen)
En ese equipo la UAT va desactivada, pero en cualquier ventanucos normal y corriente tendrás que:
-Aceptar que es un archivo descargado y confirmar que aun así quieres ejecutarlo
-Posiblemente confirmar que quieres escalar permisos, por eso de que necesita acceso a demasiados sitios.


En fin, que sí, que hay mucho inutil... esa es la conclusión de hoy en día.
votos: 36    karma: 269
#14   #13 No subestimes al usuario medio. Hay mucha gente que le da a todo a aceptar sin leer
votos: 2    karma: 26
#54   #14 Creo que a eso se refiere con "inútil", al usuario medio que le da a todo aceptar sin leer.
O al que configura su firewall para que no le saque las ventanas de alarma y acepte todo.
votos: 0    karma: 8
#15   #13 desde que en cierto foro muy conocido recomiendan a todo el mundo que tiene problemas con sus ordenadores desactivar windows update....
votos: 3    karma: 25
#20   #13 Mención especial al que lo ejecute desde un PC del trabajo... :roll:
votos: 1    karma: 20
#83   #20 Hombre, no vas a descargar virus en tu casa. :troll:
votos: 0    karma: 7
#24   #13 Yo, toco madera pero esto esta hecho para kamikazes informaticos (conozco a mucha gente que instala y ejecuta muchas cosas sin saber que coño es)
votos: 1    karma: 18
#41   #13 Cierto, la estupidez del usuario es absoluta.
Como esas chicas incautas que van andando solas de noche por la calle.
O los paletos que no tienen puerta acorazada en sus viviendas.
O los también estúpidos que no llevan la cartera escondida en los calzoncillos cuando atraviesan la Puerta del Sol.

En lo que sí estamos de acuerdo es en que hay mucho inútil.
votos: 0    karma: 7
#52   #41 Hoy en día se confunde la prudencia con la manía persecutoria. Está muy de moda, si.
votos: 0    karma: 11
#65   #41 No, esto es como tener sexo sin condon con un infectado con vih y preguntarse como has pillado el sida.
votos: 0    karma: 7
#71   #65 los delincuentes son los culpables de la comisión de un delito, no las víctimas, por muy imprudentes que estas sean.
Un virus no tiene responsabilidad penal alguna.

Lo que ocurre es que los hackers siguen teniendo un halo de prestigio en ciertos sectores de la población. No pasa nada, hace 30 años también en Bélgica los grupos como ETA tenía su halo de romanticismo y los belgas ya han cambiado de opinión.
Dentro de unos años quizá algún avión con vuestros seres queridos (ojalá me equivoque) estallará por los aires víctima de un hackeo, y entonces los hackers ya serán los malos, por muy inteligentes que nos parezcan.
votos: 0    karma: 7
#47   #13 Un error en el nivel 8 OSI, vamos. en.wikipedia.org/wiki/Layer_8
votos: 1    karma: 12
 *   elzahr elzahr
#74   #13 Tienes que comprender que los usuarios de ordenador y sobre todo de smartphone no tienen que ser usuarios con conocimiento, muchos han pasado del papel al ordenador a edad avanzada.

No me parece bien llamar "inutiles" a personas de 60 años que se esfuerzan porque quieren usar un ordenador o un movil pero no tiene habilidad para comprender todo lo que ocurre y tienen que decidir pulsar el botón o no
votos: 0    karma: 10
 *   Radix2
#82   #13 El problema como siempre son los usuarios, la noticia me parece sensacionalista, pero al menos se da el tema a conocer.

Eso sí, recuerdo un caso curioso de un usuario de meneame que parecía tener algún conocimiento de permisos y ordenadores por otros comentarios pero que una vez soltó algo de que un programa le instaló un malware "a pesar de que no lo había instalado". Ahora bien, ese "no lo había instalado" era hacer doble click en el ejecutable, y cuando te pregunta…   » ver todo el comentario
votos: 0    karma: 7
#22   Que susto, pensaba que era una imagen de las que se ponen en las barras de publicidad, y es simplemente un attachment que se autoejecuta. Que novedad.
votos: 2    karma: 25
#25   Y qué vulnerabilidad de feisbuk es esta?
O de svg?
SVG es un xml que permite ejecutar scripts en un intérprete. Nada tiene que ver svg con descargarse un archivo y ejecutarlo.
Además, los navegadores actuales muestran svg sin problemas.

Respecto a lo de desactivar javascript e impedir comunicaciones asíncronas para dificultar enormemente la navegación me parece ridículo. Un sistema operativo serio y un mínimo de atención y prácticamente ninguna web te va a perjudicar seriamente.
votos: 3    karma: 37
 *   scalvo
#34   #25 exactamente.
votos: 0    karma: 7
#36   ¿Esta es la clásica vulnerabilidad de un formato de archivo que se anuncia "vulnerabilidad de Facebook/LinkedIn" por que atrae más visitas que "vulnerabilidad de svg"?
votos: 9    karma: 100
#37   #36 Si.
votos: 4    karma: 43
#40   Conozco a varios que le han pedido rescate por sus datos secuestrados mediante encriptación (ransomware). Es hora de reivindicar un clásico: La mejor vacuna no es un antivirus, es: COPIAS DE SEGURIDAD.

Hay muchas herramientas gratuitas que sincronizan nuestra carpeta de datos con otra en un disco externo periódicamente. Si da pereza conectar el disco duro externo para hacer la copia porque usamos un portátil, podemos poner en casa un disco duro compartido en red conectado a la Wifi (hay…   » ver todo el comentario
votos: 0    karma: 9
#50   #40 Dímelo a mí, que ayer justo conecto un HD externo USB y tacatacatacatacataca... lo he congelado, le he dado golpecitos y nada. Error de hardware irrecuperable. Suerte que solamente guardaba pelis y series (cosa que es absurda puesto que hoy en día tienes contenido que no te lo terminas en internet)
votos: 0    karma: 11
#63   #50 has probado a conectarte con el portátil con USB live y photorec? A lo mejor windows no lo detecta pero en linux si.
votos: 1    karma: 22
 *   Jakeukalane Jakeukalane
#64   #63 Lo busco y lo pruebo! gracias.
votos: 1    karma: 22
#66   #63 si hace ruido y lo ha metido al congelador va a ser cosa de motor y linux no va a poder hacer nada. (a parte congelarlo no hace milagros, solo sirve para sacar a todo correr el contenido del mismo)
votos: 1    karma: 18
 *   Aokromes Aokromes
#73   #63 Gracias a tu consejo por vez primera he creado un USB de Linux, he elegido el Lubuntu (la verdad es que de esas distribuciones tengo poca idea, nunca he usado Linux en un PC) y oye, me ha gustado... muy bien maquillado, parece un escritorio de windows. Eso si, no ha reconocido el disco y no ha habido manera de instalar el photorec (para Linux, entiendo) cuando arranco con el USB. Buscaré más información sobre Lubuntu y lo que puedo hacer.
votos: 1    karma: 22
#75   #73 Bueno, era una opción, yo he recuperado con el photorec fotos que se habían borrado de una tarjeta SD. Pero si el hardware está mal no hay mucho que hacer. Me alegro haberte sido útil ;)
votos: 1    karma: 22
#55   #40 Y también no instalarse nada que no sea un programa que necesitas, que entiendes lo que es (y en caso de dudas te has informado de si le da problemas a otros usuarios) y que has descargado de la web del creador.
votos: 0    karma: 8
#56   #40 Lo jodio es que hagas la copia de seguridad de los archivos ya encriptados :troll:
votos: 0    karma: 7
#62   #56 copias de seguridad incrementales o copias de seguridad completas, siempre puedes restaurar una copia de seguridad del dia anterior a la infeccion.
votos: 0    karma: 7
#60   #40 yo a mis clientes les recomiendo copias de seguridad inversas (un servidor donde el servidor coja las copias de seguridad de las maquinas de la empresa, nada de dejar acceso a las maquinas de los trabajadores a la maquina donde se almacenan las copias de seguridad) O a hardware que normalmente este desconectado y a ser posible tener copia de seguridad en varios discos duros (dias pares/dias impares)
votos: 0    karma: 7
#49   Votaré errónea porque no es un bug de Facebook sino de SVG. Y de hecho ni es un bug ni es na.
votos: 1    karma: 20
#72   Por lo que se ve en el video el atacante envía un fichero malicioso adjunto por el chat, la víctima lo descarga y lo ejecuta. Como va a ser vulnerabilidad en Facebook? Es como decir que todos los servicios de correo tienen una vulnerabilidad porque permiten enviar ficheros adjuntos.

Está bien que Facebook limite las extensiones de ficheros que se pueden enviar, haga análisis con antivirus de ficheros enviados, scraping the sitios maliciosos etc... Pero todo el mundo sabe que eso solo sirve para low hanging fruit, siempre se pueden saltar esas medidas.

Nota graciosa, en el video usa Burp suite para la PoC, que lo desarrollamos yo y otros 10 compis. Vendo opel astra?
votos: 0    karma: 6
 *   drunk_cook

menéame