- English
- Español
[REAL VIDEO].....Secuestro de “Me gusta” a través de supuesto video de YouTube !!!
El día de hoy se publicó una noticia en el portal de la SSI-UNAM-CERT que hace referencia a una nueva amenaza de likejacking en Facebook. Al buscarla en la red social, se trataba de un supuesto video, detectamos que varios usuarios habían sido afectados y algunos enlaces todavía se encontraban activos.
El enlace principal, como se especifica en la noticia, redirige al sitio http://www.videotonight.info, en el cual aparece un supuesto video de la empresa YouTubO.... ¿YouTubo?
Este nombre generó nuestras sospechas respecto a la autencidad del sitio y su contenido.
Al revisar el código fuente de la página, encontramos una etiqueta iframe responsable de cargar el archivo girl_video.php.
Las páginas con el mensaje en inglés y español se muestran a continuación...
2) Dentro del código se encontró el enlace de la imagen de la chica de los mensajes de Facebook; además del enlace de la imagen de YouTubO y un tercer enlace del cual hablaremos más adelante.
La imagen de la chica se encuentra en: http://img534.imageshack.us/img534/623/dancepg.jpg
La imagen de YouTubo en: http://www.clickbomb.net/youtube5.jpg
3) Se encontró otro enlace dentro de un iframe que hacía referencia al script like.php, muy común en los enlaces de "Me gusta" en Facebook. Automáticamente, esto nos hace pensar que al no aparecer visible en la página del video, lo más probable es que se encuetre oculto detrás. Esto se conoce como secuestro de "Me gusta" o "likejacking".
Para comprobar, accedimos a una cuenta de prueba e hicimos clic en el botón "Play" del supuesto video. Desafortunadamente, la chica no comenzó su baile y sólo obtuvimos una publicación del enlace malicioso en nuestro perfil. Lo más destacable de este ataque, es que la aplicación que tuvo acceso a nuestro perfil no mostró el cuadro de autorización que comúnmente muchas otras sí muestran.
Si se ha sido vícitma de este ataque, es muy importante eliminar la publicación del muro a fin de evitar que nuestros amigos caigan en el engaño y que se siga propagando...
Para finalizar, en el código del archivo girl_video.php, detectamos un tercer enlace que hacía referencia a otro archivo php llamado reverse.php y a su vez, dentro de éste se efectuaba una redirección hacia el script reverse2.php. Al cargar el enlace, se abrió otro supuesto video (muy parecido al primero).
En esta ocasión, apareció un mensaje mencionando que el video está bloqueado y que para poder verlo es necesario contestar un "cuestionario", así como confirmar la dirección de correo electrónico del usuario.