Sin dar muchos detalles, Trend Micro se ha encontrado con un ataque del tipo drive-by download en Facebook. Estos ataques pueden infectar un equipo por el simple hecho de visitar una página especialmente diseñada para ello, cuando el usuario accede se ejecutan diferentes exploits que buscan vulnerabilidades en el navegador y sus complementos, al encontrarlas pueden descargar malware de forma automática y oculta.
Pues bien, lo que han detectado los investigadores de TM es una aplicación de Facebook con anuncios maliciosos que redireccionan hacia una página que explota vulnerabilidades conocidas de Java y ActiveX. Esta es la imagen que han publicado en su blog para explicar el ataque de forma sencilla:
Hace poco comentaba que por medio de iframes en las páginas de las aplicaciones estaban robando contraseñas y promocionando falsos antivirus, esto sucede porque en un iframe es posible cargar cualquier cosa. Pero en este caso el problema parece estar en la plataforma de publicidad utilizada por la aplicación, los atacantes lograron colar de alguna forma sus anuncios y se pudieron estar mostrando en miles de páginas, incluyendo aquellas que son legítimas.
¿Cómo protegerse de estos ataques?
Como siempre comento, el sentido común es fundamental, muchos ataques se evitan teniendo cuidado con lo que se instala, acepta o descarga de internet. Por otro lado, un antivirus actualizado siempre ayuda aunque no siempre va a detener estos ataques, también es importantísimo mantener actualizado el sistema operativo, el navegador y todos sus complementos.
En este ataque se aprovechan vulnerabilidades de Java que fueron parcheadas en 2010 y un problema de ActiveX que se conoce desde el 2006, si el equipo está actualizado el 99% de los exploits no pueden hacer nada.
Los usuarios de Firefox pueden tener una protección extra utilizando la extensión NoScript que permite bloquear todos los scripts de las páginas y habilitarlos sólo para las que consideren seguras o confiables.