Estafa de soporte técnico utiliza vulnerabilidad XSS para mostrar una infección falsa de malware

Las estafas de soporte técnico son una de las amenazas más comunes para usuarios de tecnología, pues tanto proveedores de servicios legítimos como usuarios finales están expuestos y pueden sufrir consecuencias considerables. Dentro de esta variante de fraude, el bloqueo de navegador se ha consolidado como una de las prácticas más comunes y efectivas a disposición de los actores de amenazas.

Dentro de este tipo de campañas, los especialistas de MalwareBytes han notado una con un comportamiento diferente en la que los actores de amenazas usan Facebook para la distribución de enlaces maliciosos que redirigen a las víctimas a un sitio web de bloqueo de navegador, empleando técnicas de engaño como ataques de scripts entre sitios (XSS).

Sobra decir que los enlaces publicados en redes sociales son una de las formas más eficaces para desplegar contenido malicioso, por lo que los usuarios deben tener cuidado al interactuar con estos elementos, pues podrían ser usados para iniciar la descarga de spam o malware.

La campaña analizada por los especialistas es algo inusual, pues por lo general los actores de amenazas emplean estafas de soporte técnico a través de publicidad maliciosa. A pesar de que Facebook muestra una advertencia para asegurarse de que el usuario desea seguir el enlace, la campaña parece tener un alto grado de éxito, pues los hackers usan el servicio bit.ly para acortar URLs en la primera etapa de redirección.

Los especialistas identificaron 50 enlaces de bit.ly diferentes en un periodo de tres meses, lo que podría considerarse una muestra de comportamiento anómalo de los actores de amenazas. Si bien MalwareBytes no ha confirmado por qué es que los hackers usan Facebook para desplegar sus ataques, es cierto que esta actividad puede avanzar a un ritmo acelerado usando las aplicaciones en la red social.  

Al respecto, Facebook ya ha recibido una alerta, por lo que se espera que la plataforma detenga el avance de esta campaña a la brevedad.

Volviendo a la URL bit.ly, esta activa la redirección de la segunda etapa que involucra a un sitio web operado desde Perú, donde se desencadena el ataque XSS que permite una redirección abierta. A los actores de amenazas les encanta abusar de los redireccionamientos abiertos, ya que les da cierta legitimidad a la URL que envían a las víctimas. En este caso, las víctimas son redirigidas a un sitio de noticias con más de 20 millones de visitantes al mes.