Conocido ya como ImageGate, los expertos en seguridad han detectado esta semana que los ciberdelincuentes se han bastado de una vulnerabilidad existente en ambas plataformas para forzar a los usuarios a descargar imágenes. Esto no sería peligroso si no fuera porque en el interior del código que genera la imagen se ha incluido otro que descarga la amenaza Locky.
Indican que se trata de un problema de seguridad que no muestra siempre el mismo comportamiento. Esto quiere decir que en algunas ocasiones la imagen se descarga al acceder a determinados perfiles, mientras que en otros casos esta solo llegará al equipo si el usuario hace click en ella.
Lo verdaderamente curioso de todo esto, es que no solo afecta a la madre de las redes sociales, sino también a LinkedIn.
Cuando el usuario detecta la descarga de la imagen y la abre, se ejecuta también un script contenido en la misma, siendo este último el encargado de realizar la descarga de Locky. La versión que nos ocupa en esta ocasión afecta única y exclusivamente a usuarios con sistema operativo Windows.
La vulnerabilidad todavía no ha sido resuelta
Es bastante habitual hablar de fallos de seguridad en plataformas a posteriori, es decir, cuando los responsables han encontrado la solución. En esta ocasión las dos plataformas continúan afectadas por el mismo, de ahí que desde Check Point (la empresa encargada de llevar a cabo el descubrimiento) hayan rechazado revelar detalles técnicos, o al menor por el momento. De esta forma quieren evitar poner las cosas mucho más fáciles a los ciberdelincuentes.
A la hora de distribuir el código, se están ayudando de archivos SVG, JS y HTA, que se están camuflando a la vez como archivos de imagen. Esto quiere decir que resulta más que se estén ayudando de dobles extensiones para así ocultar en realidad la que en realidad caracteriza al archivo.
Un servidor para descargar Locky
Los expertos en seguridad han realizado u análisis minucioso de la amenaza, antes de enviar la información que han creído necesaria a ambas redes sociales. Cuando el archivo con una extensión de las mencionadas con anterioridad se ejecuta en Windows, se realiza un contacto con un servidor online, realizando la descarga de una copia de este ransomware tan popular. El resto es de sobra conocido, instalándose, cifrando los archivos y solicitando una recompensa. Por suerte para los usuarios, se trata de una versión ya conocida y las herramientas de seguridad consiguen detectarla de forma eficaz.