Continuan las amenazas de likejacking...... Supuesto video de modelo italiana!!!

El día de ayer publicamos un reporte relacionado con un ataque de likejacking a través de un supuesto video de una mujer haciendo un baile sensual. Hoy, recibimos la notificación del enlace de un sitio en el que se mostraba otro supuesto video con un título muy sugerente. En esta ocasión, se debía “verificar” la edad de la persona, haciendo dos veces clic en el botón “Jaa” para poder ver dicho video.

La primera vez, el sitio abrió una ventana para confirmar la acción anterior. Esta ventana es muy parecida a aquellas utilizadas por ciertas aplicaciones de Facebook para que el usuario les conceda ciertos permisos y de esta manera puedan interactuar con la información de su perfil.

Es importante señalar que esta ventana sólo aparece si se ha iniciado sesión en Facebook, si no se ha hecho, se muestra la ventana típica para inicio de sesión. El mensaje que despliega el sitio al hacer clic en el botón “Jaa” por segunda vez, indica que no fue posible publicar en el muro del usuario. Y efectivamente, al revisar el perfil de nuestra cuenta de pruebas, no hubo ningún mensaje haciendo alusión a este video.

Revisando un poco en Internet acerca de esta amenaza, encontramos que el sitio Facecrooks.com ya había alertado de este “video” desde el martes 21 de junio, por lo que al ser un ataque relativamente viejo, ya no haya podido completarse.

Al analizar el código del sitio, encontramos dos elementos interesantes:

El primero de ellos hacía referencia a un archivo de flash (extensión swf) a partir del cual se efectuaba una redirección al sitio hxxp://videos.musicaface.com/ y cargaba el archivo xml_FB3.php.

El sitio resultante de la redirección, y de cargar el archivo php anterior, contenía una imagen ampliada a tamaño completo obtenida desde la ubicación encerrada en el recuadro rojo de la siguiente imagen y además, al dar clic en la imagen, se abría el sitio localizado en el recuadro azul.

El sitio lucía, en parte, como el que se muesta en la siguiente imagen:

El enlace del recuadro azul, es el del mismo sitio de la modelo italiana, presentado al inicio de este reporte.

El segundo aspecto que encontramos interesante, está presente en el código de la siguiente imagen:

Se trata de código en JavaScript para cargar el sitio que está encerrado en el recuadro rojo, al cabo de cierto tiempo. Nuestra sorpresa fue que al revisarlo, encontramos muchas amenazas parecidas, relacionadas con supuestos videos que conducen al secuestro de “me gusta”.

Algunos de ellos se muestran a continuaciuón:

La mayoría de estos ataques no llegaron a completarse y mostraron el mensaje de error mencionado anteriormente.

Para finalizar este reporte, identificamos otro ataque de likejacking en Facebook, esta vez con el texto principal:

                                                   WTF – What you are doing in this video??

El enlace del mensaje desplegaba una página fuera de Facebook con otro supuesto video. Primeramente, redireccionaba hacia un sitio en blogspot y al cabo de unos segundos, volvía a redirigir al usuario al sitio con el supuesto video.

La barra característica de Facebook en donde se presentan las opciones Home, Profile, etc., era una imagen cargada desde un sitio alterno, al igual que la sección correspondiente a la barra de reproducción del video.

A comparación del “video” de la modelo italiana, este ataque se consumaba cuando el usuario hacía clic en el botón “Jaa” en dos ocasiones. En la primera, se abría una ventana con un mensaje de autorización y con la segunda, se publicaba el mensaje de propagación.