Algunos usuarios de Facebook han sido infectados por un gusano tras haber pinchado en una imagen de una mujer ligera de ropa que en realidad redirige a estas víctimas a una página Web de contenido pornográfico. Así lo afirman diferentes investigadores de seguridad, quienes explican que el gusano envía a los muros de los usuarios de Facebook una foto de una mujer en bikini con un mensaje que les anima a pinchar en ella. Estos mensajes en el muro pueden verlos también los amigos del usuario de Facebook.

Si un amigo también hace clic en la imagen y estaba conectado a Facebook, esa imagen es enviada a su
propio muro. En ese momento, el navegador Web abre una página en Internet con una imagen más grande de esa foto. Un nuevo clic en ella redirige al amigo hasta una página Web pornográfica. Es lo que ha explicado Roger Thompson, responsable de investigación del fabricante de soluciones antivirus AVG Technologies, que ha publicado un vídeo sobre este mismo ataque:

Todo parece indicar que los creadores del gusano están haciendo dinero al conseguir más visitas en esta página Web pornográfica, indica Nick FitzGerald, analista de amenazas de AVG.

El ataque es lo que se conoce como Cross Site Request Forgery (CSRF). De este tipo de ataques ya hemos hablado aquí en la comunidad (Facebook: Robo de Cuenta vía CSRF ). Un ataque CSRF se produce cuando las credenciales de una víctima se utilizan para realizar algún tipo de acción sin su conocimiento. En ese caso, el atacante envía fraudulentamente la imagen al muro de Facebook de la víctima, aprovechándose del hecho de que la víctima esté conectada a su propia cuenta. No obstante los investigadores no descartan la posibilidad de que el ataque utilice otras técnicas como el clickjacking.

En este caso, los atacantes utilizan una programación Web especial para engañar a las víctimas para que hagan clic en botones Web sin ni tan siquiera darse cuenta de ello. Esta opción, el clickjacking, es posible debido a una característica de diseño fundamental en HTML que permite a las páginas Web embeber contenido desde otros sitios en Internet. Los navegadores Web son muy vulnerables a los ataques de clickjacking, aunque también es cierto que sus desarrolladores están trabajando en mejorar sus mecanismos de defensa frente a ellos.

Entre los investigadores aun hay controversia respecto a si solo es CSRF o clickjacking. Por su parte facebook ha declarado que no consideran que el ataque sea producto de un gusano, también aseguran haber tomado “medidas para bloquear la URL asociada a esta página y estamos limpiando los relativamente pocos casos en los que se publicó”. Aún así, desde Facebook han querido aclarar que “un porcentaje extremadamente pequeño de usuarios se han visto afectados”. Si el "gusano" se extiende como un ataque de clickjacking, “sería difícil para Facebook devolver la confianza” a sus usuarios.

Desde Facebook han aconsejado a sus miembros que no pinchen en direcciones Web sospechosas. Sin embargo, en este caso, el link no parece sospechoso, debido a la variedad de publicaciones que aparecen en los muros de los usuarios de esta red social.

De hecho, un investigador de seguridad volvió a publicar la imagen sospechosa sin darse cuenta. “Esto muestra que incluso los expertos pueden ser displicentes y confiar en sistemas de los que no deberían fiarse”,comenta Gadi Evron, un investigador de seguridad independiente en el blog Dark Reading. 

Fuentes:

AVG Blog - Roger Thompson
blog Dark Reading. 
internetnwes
IDG
Threatpost