No es ninguna sorpresa que el exploit kit Blackhole sigue intentando infectar a los usuarios. Una de las técnicas más utilizadas es la de enviar a la víctima un mensaje de correo proveniente de, por ejemplo, Facebook, Linkedin, Twitter, etc. y pedirle que haga clic en un enlace.

Echemos  un vistazo a dichas tácticas. Hace poco recibimos el siguiente correo:

BP1

Dicho correo, en inglés, dice lo siguiente:

Hola, Has desactivado tu cuenta de Facebook. Puedes volver a activarla en cualquier momento conectándote a Facebook con tu antigua dirección de correo y contraseña. De esta forma, podrás volver a usar el sitio del modo habitual.

Muchas gracias,
El equipo de Facebook

Como es obvio, Facebook no ha desactivado tu cuenta en ningún momento. Hay algunos factores que ayudan a detectar fácilmente que este correo es falso:

  • El campo “De” indica que el mensaje viene de “Facebook”, sin embargo, el remitente es claramente ‘nondrinker@iztzg.hr’.
  • Por otro lado, ¿has desactivado tu cuenta? Si la respuesta es ‘no’, entonces no hay ningún motivo para recibir este correo.
  • El asunto y el contenido del mensaje no concuerdan.
  • Si pasas el puntero del ratón sobre los enlaces del correo verás las URLs reales, que no son URLs de Facebook.

Si haces clic en alguno de los enlaces, te encontrarás (después de unas cuantas redirecciones) con el exploit kit Blackhole (también conocido como BH EK), que intentará cargar en la máquina un código que explota una vulnerabilidad de Java una vez averigüe el plugin y la versión de Java que estás utilizando:

BP2

¿Las consecuencias? Probablemente la instalación de ransomware o de un troyano bancario.

Prevención

Utiliza el complemento NoScript para Firefox o NotScripts para Chrome para evitar este tipo de ataque.

Utiliza el complemento WOT para comprobar el estado de un sitio web.

Utiliza el sentido común y hazte una serie de preguntas lógicas (ver más abajo).

Emplea un analizador de URLs si tienes dudas sobre alguna URL. Algunos ejemplos serían VirusTotalURLvoid y URLquery.

Conclusión

Como es habitual con este tipo de correos, estate alerta y hazte siempre una serie de preguntas lógicas:

  • ¿Por qué me ha llegado este correo a la carpeta de spam o de correo no deseado si normalmente recibo los correos de Facebook en la bandeja de entrada?
  • ¿Por qué me envía este correo Facebook si mi cuenta no está desactivada?
  • ¿Por qué no apuntan estos links a la web de Facebook?
  • ¿Por qué el remitente no es de Facebook? ¿Qué se ve en la cabecera?

Usa el sentido común, mantén Windows y todas las aplicaciones de terceros que tengas instaladas actualizadas, y utiliza un buen programa antivirus y antimalware, como por ejemplo nuestro Panda Cloud Antivirus, completamente gratuito.

Autor: Bart Parys

Fuente: http://bartblaze.blogspot.be/2013/01/facebook-spam-leads-to-exploit-kit.html