Un nuevo troyano se está propagando rápidamente a través de Facebook logrando infectar a más de 110 mil usuarios en 48 horas. Este malware se propaga mediante la publicación de videos pornográficos en el perfil de la víctima infectada e incluso etiqueta a algunos de los amigos con el fin de lograr una mayor cantidad de infecciones.

Cuando los usuarios de Facebook intentan ver los videos posteados, se les pide que descarguen una falsa actualización de Flash que produce la infección.

Este troyano (que en ESET detectamos desde el primer momento como Win32/VB.RTN) se diferencia a otros que hemos analizado en el Laboratorio de ESET Latinoamérica, debido a que no manda mensajes con archivos maliciosos sino que utiliza técnicas de Ingeniería Social y etiqueta a amigos los cuales confían en la victima facilitando mucha la masificación del malware.

Al analizar el malware podemos comprobar que tiene una extensión .exe, que si bien mucha gente sabe que es un archivo ejecutable, intenta engañar utilizando el icono de Flash como propio. También, en el ejecutable podemos ver que no se encuentra protegido, ofuscado o comprimido con UPX como es muy común en muchos códigos maliciosos; simplemente que fue compilado con Visual C++ 7.1. y que su hash es:

MD5: cdcc132fad2e819e7ab94e5e564e8968
SHA1: b836facdde6c866db5ad3f582c86a7f99db09784
SHA256: 68080cb424aec94c6a637c312025ba7eaa1bbe2815f67322d497e76a309f8fcd

Además, el malware inyecta procesos en Google Chrome, los cuales en una instalación por defecto se encuentran en C:\users\user\appdata\roaming\chromium.exe. Al cerrar el navegador el proceso continúa activo, es decir, que el troyano sigue propagándose.

Chrome inyectado

Entre otras funciones que tiene el malware podemos destacar:

  • Crea varias hooks que monitorean  y capturan las entradas del teclado y mouse, es decir que tiene capacidad de keylogger.
  • Roba información confidencial contenida en el navegador.
  • Se auto-instala en el arranque de Windows.

Nuevamente podemos ver cómo la Ingeniería Social vuelve a ser un método muy efectivo para la propagación de malware y más cuando la plataforma utilizada es Facebook u otra red social masiva. Por estos motivos, siempre es necesario que como usuarios estén atentos para poder detectar proactivamente estos comportamientos y no ser víctimas de estos ataques, así como también contar con una solución de seguridad que los proteja ante este tipo de amenazas.