Promo falsa de SMS gratis por Facebook instala extensión maliciosa en el navegador

En los últimos días se detectaron varias campañas de spam en Facebook que buscaban engañar a los usuarios con extensiones maliciosas para el navegador, la mayoría de ellas en idioma portugués como la siguiente que promete el envío de mensajes de texto gratis:

facebook-sms-engaño

En esta fanpage los atacantes publicaban enlaces maliciosos que redireccionaban hacia páginas donde se solicitaba la instalación de una extensión o complemento para el navegador:

extension-maliciosa-facebook

Dado que algunos enlaces utilizaban el servicio ofrecido por bit.ly, se pueden ver sus estadísticas agregando el signo de + al final de las URLs. En sólo 4 días uno de los enlaces recibió más de 36 mil clics:

36-mil-clics

La propagación fue bastante viral ya que la extensión tomaba el control de las cuentas para publicar mensajes spam en los muros, pero el peligro no es sólo ese, con una extensión maliciosa toda la actividad que realice la víctima en internet puede ser comprometida. Los atacantes si lo desean pueden modificar las páginas que se visitan, robar información personal, mostrar publicidad propia, enviar spam desde el webmail, descargar malware y un largo etc de cosas que al final del día les terminan generando dinero.

En estos casos pasar un antivirus o cambiar contraseñas no sirve de nada, la infección está en el propio navegador y seguirá ahí hasta que el usuario la elimine manualmente. A continuación explico brevemente los pasos para hacerlo en Firefox y Chrome.

Eliminar extensiones en Firefox: accede al menú Herramientas / Complementos, se abrirá una página con la lista de extensiones instaladas. Desde ahí podrás eliminarlas con un clic.

Eliminar extensiones en Chrome: en el botón de opciones (la llave mecánica ubicada arriba a la derecha) selecciona Herramientas y luego Extensiones. Se abrirá una página con las extensiones instaladas, con un simple clic las podrás eliminar.

Si no sabes qué extensiones eliminar, deshazte de todas aquellas que parezcan sospechosas o no reconozcas. Recuerda tener precaución con los complementos que aceptas, si no conoces su origen no los instales y mucho menos si llegas a ellos por medio de redes sociales :)

Ver también:
Verificaciones falsas del móvil en Facebook.
Cuidado con los SMS Bomber, la víctima podrías ser tú.
Programas para hacer bromas en Facebook e infectar tu propio equipo.

9 comentarios en «Promo falsa de SMS gratis por Facebook instala extensión maliciosa en el navegador»

  1. hola a todos ablando de facebook quiero comentarles que estube por la red y encontre un programa que es capas de sacar las contraseñas de facebook no se como lo hace pero me sorprendi cuando lo probe y trate de aberiguar la contraseña y me quede sorprendido podia entar al facebook de mi amigo claro que no hize nada solo queria saber si era real.
    les cuento como fue en el programa tiene la opsion para poner un correo electronico y un comentario como por ejenplo fotos mias y este prograda crea un link para mandarselo a la victima que se puso el correo en esa opsion
    despues se selecciona un boton que dice fake facebook algo haci y genera otro codigo que es para copiar y pegarlo en el navegador y redirecciona a otra pajina donde rebela las claves de esa persona que recibio el link no se si men entienden.

    yo ise una priewba poniendo mi correo electronico en el progrma me genero un link y le hise ckik y aparecio la pajina de facebook con mi correo y decia algocomo para ber el contenido inicie sesion y puse mi contraseña y enter pero solo la pajina internet explore no puede buscar este sitio o esas cosas cuando no se puede enconttrar una pajina
    yo creo que ese link copia las contraseñas y las manda a esa pajina , lo mas extrano es que al entrar a esa supuesta pajina de facebook para iniciar sesion, las opsiones que tienen son las reales como canbiar el idioma o
    Crear una página · Desarrolladores · Empleo · Privacidad · Condiciones · Ayuda. son reales.

    Responder
    • Hola Gabo, por lo que comentas lo que genera el programa es una página falsa de Facebook para que la víctima «inicie sesión», es un ataque de phishing. La otra persona cree que está en la página real porque ve el mismo diseño y todas las opciones de siempre, pero en realidad es una página falsa que roba la contraseña al introducirla.

      Responder
  2. Parece ser algo que tienes en el navegador… chequea las extensiones que están instaladas y elimina todas las que no reconozcas (puedes hacerlo desde Herramientas / Extensiones).

    Para tener una segunda opinión, además de la de Norton, prueba realizar un análisis con Malwarebytes que es un antimalware muy potente que puede funcionar sin problemas con el antivirus.

    Otra cosa que puedes probar es Restaurar el Sistema a punto anterior, cuando esto no te sucedía… a veces así se resuelven muchos problemas.

    Responder
    • Muchas gracias, chequé las extensiones y no había nada raro. Probé Malwarebytes y me detectó 5 supuestos troyanos, los cuales eliminé, y luego probé de nuevo en los resultados de búsqueda, y parecía que no ocurrían las redirecciones.

      Seguí probando y otra vez pasa D:, diablos!, voy a restaurar el sistema a un estado anterior como me recomiendas a ver que pasa…

      Gracias de nuevo

      Responder
      • Gracias, te cuento:

        Volví a echar un vistazo a las extensiones y vi una rara que eliminé.

        Luego, aparentemente se arregló el problema, después volvieron los redireccioanmientos.

        Volví a checar las extensiones, y otra vez aparecía la extensión eliminada D, la cual volví a eliminar. Parece que que ya se arregló, muchas gracias ;) Quien sabe como rayos cogí eso…

        Sabes, te quiero preguntar algo:

        ¿Qué tan certera es la característica del buscador de Google que te da la advertencia de que un sitio puede instalar software malicioso?

        Me refiero a esta:
        http://support.google.com/websearch/bin/answer.py?hl=es&answer=45449

        Responder
        • Me alegro de que ya funcione bien

          Sobre esas advertencias yo diría que son bastante certeras, si aparecen es porque detectaron que el sitio está infectado (por ejemplo realiza redireccionamientos cuando las personas entran sólo desde Google e incluso pueden llegar a descargar virus de forma oculta), pero también sucede a veces que el dueño del sitio detecta el problema, lo arregla y durante unos días la advertencia aún sigue apareciendo… no se va de forma instantánea.

          De todas formas recomendaría no entrar si la advertencia aparece o en todo caso hacerlo con Firefox + la extensión NoScript que bloquea todos los scripts del sitio, incluyendo a los que puedan ser dañinos.

          Responder
  3. Bueno, veo que me contestaste en Twitter, gracias; te cuento:

    Pasa prácticamente con cualquier sitio, incluso, hace un momento que trate de acceder al tuyo me pasó, te muestro la captura:

    http://3.bp.blogspot.com/-gC_EhDEnfQA/T3ToBY-PDRI/AAAAAAAAJbs/J3P_8KUbp7Y/s1600/redirec-spamloco.png

    …y al querer acceder a la página de ALT40, antes de venir al tuyo:

    http://3.bp.blogspot.com/-gC_EhDEnfQA/T3ToBY-PDRI/AAAAAAAAJbs/J3P_8KUbp7Y/s1600/redirec-spamloco.png

    También ocurre cuando accedo a mi blog, y al de otros, según comprobaba cuando note ese problemilla D: en fin, en cualquier sitio…

    Luego, me regreso con la opción del navegador, y vuelvo a ingresar desde el resultado de búsqueda y ya entra a la página respectiva…

    Responder
  4. Qué día, sabes mi laptop se acaba de caer y ya no funciona :S, pero bueno, no es eso a lo que venía, resulta que en mi otra laptop, cuando accedo a una página desde los resultados de búsqueda de Google, me está redireccionando a ciertas páginas que presuntamente tienen mala reputación según WOT, y aunque tuvieran buena reputación, lo importante es que no debería suceder eso…

    Esto pasa cuando ingreso desde los resultados de búsqueda de Chrome, probé en Firefox e IE y aparentemente no sucede en esos navegadores…

    Sabes que maldito malware puede ser y como eliminarlo, uso NORTON y no me detecta nada D:

    Responder

Deja un comentario