Un correo spam de Facebook advierte al usuario de un cambio de contraseña
La mayoría de este tipo de correos, y más si tenemos en cuenta que se trata de la red social Facebook suelen tener como finalidad el robo de credenciales de acceso. Sin embargo, en esta ocasión los ciberdelincuentes buscan la instalación de un malware que permita a estos realizar un control remoto del equipo y vincularlo a una de las mayores botnets que existen a día de hoy: Asprox. El correo se está enviando de forma aleatoria.
Por este motivo, los usuarios que reciban este correo puede que utilicen el servicio o puede que no, pero teniendo en cuenta la cantidad de usuarios que existen es poco probable no tener un porcentaje de acierto alto. Para llamar la atención del usuario los ciberdelincuentes informan al usuario de un cambio en las credenciales de acceso a la cuenta de la red social, indicando que se debe acceder a una página para verificarlos de nuevo y así evitar problemas.
Junto con este mensaje se adjunta una dirección web no visible donde el usuario a priori tendría que ser capaz la acción indicada con anterioridad. Sin embargo esto no es así y en realidad se produce la descarga de malware en el equipo.
En el cuerpo del mensaje se puede ver además como se informa desde el equipo de seguridad de Facebook de un intento no autorizado de acceso a la cuenta utilizando una dirección IP y el navegador Opera, indicando también la localización de la dirección IP indicada. Sin embargo, al recurrir a un localizador se puede comprobar que lo dicho con anterioridad no corresponde.
No es necesario ejecutar el .exe para que el equipo se infecte
Al hacer click en el enlace suministrado no se abre ninguna página pero sí que se produce la descarga de un archivo. Este archivo es un ejecutable que contiene el virus que hará que el equipo forme parte de la botnet Asprox. Aunque se pueda pensar que si el ejecutable no es abierto no existe ninguna posibilidad de que el malware se instale, la realidad es totalmente opuesta y desde que se completa la descarga el troyano comienza a comprobar el estado del equipo del usuario para realizar su posterior instalación.
Los primeros afectados son los equipos Windows, sin embargo, los usuarios de Android e iOS también se ven afectados por esta amenaza, existiendo versiones diferentes del troyano, permitiendo a los ciberdelincuentes afectar a una gran cantidad de equipos gracias a las tres versiones disponibles.