Un troyano en Zynga Poker roba 16.000 contraseñas de Facebook
ESET, compañía especializada en seguridad informática ha hecho público en su blog http://blogs.protegerse.com/laboratorio/2013/02/06/pokeragent-y-el-robo-de-16-000-contrasenas-de-facebook/ información sobre una red de ordenadores «zombis» («botnet») llamada «PokerAgent», descubierta hace un año y ya se encuentra en gran parte inactiva, y que habría comprometido cerca de 16.000 contraseñas, fundamentalmente en Israel.
Esta red fue diseñada para conseguir datos de acceso a Facebook. También recogía datos de las tarjetas de crédito ligadas a cuentas de Facebook y estadísticas de los jugadores de «Zynga Poker», supuestamente con la intención de estafar a las víctimas. Israel ha sido el país donde la amenaza ha sido más activa, con 800 ordenadores infectados y más de 16.000 credenciales de Facebook robadas.
En su análisis, el investigador de ESET Robert Lipovsky destaca que la «botnet» «PokerAgent» está diseñada con una doble finalidad. Por un lado, busca robar nuevas contraseñas de acceso a Facebook y, por otro, rastrea datos de las tarjetas de crédito ligadas a cuentas de dicha red social y estadísticas de los jugadores de «Zynga Poker», el servicio de póquer ‘online’ más popular de Facebook.
ESET llegó a realizar un análisis profundo del troyano MSIL/Agent.NKY que se encuentran en el whitepaper que analiza esta amenaza:
Funciones del malware
El autor del malware tiene una gran base de datos con credenciales de Facebook robadas (nombres de usuario y contraseñas). El troyano está programado para iniciar sesión en una cuenta de Facebook y conseguir la siguiente información:
.1.Estadísticas de Zynga Poker de la cuenta de Facebook en cuestión
.2.Número de métodos de pago (p.ej. tarjetas de crédito) almacenadas en la cuenta de Facebook.
Además, se ha podido detectar que el sistema infectado puede llevar a cabo diversas tareas en nombre de una víctima de Facebook, como publicar enlaces en el muro del usuario de Facebook. El propósito de esta función es llevar a otros usuarios de Facebook (por ejemplo, amigos de los usuarios a los que se les ha robado las credenciales de acceso) a una página falsa de acceso a Facebook, para robarles también a ellos su nombre de usuario y contraseña. Esta técnica se le conoce como phishing.
Misión del ataque
Se sospecha que la auténtica misión de la red de botnet es:
.– Aumentar el tamaño de la base de datos de usuarios y contraseñas robados de Facebook.
.– Actualizar la base de datos, compararando los datos de los usuarios de Facebook con las estadísticas de Zynga Poker y las tarjetas de crédito almacenadas.
Cómo se infectaron los atacados y Estadísticas del ataque
La empresa de seguridad ESET sospecha que el método que se utilizó para infectar los equipos fue mediante la descarga de algún tipo de software en el ordenador víctima.
El seguimiento de la botnet por parte de ESET reveló que al menos 800 ordenadores habían sido infectados con el troyano, y el atacante tenía al menos 16.194 entradas únicas en su base de datos de credenciales de Facebook el 20 de marzo de 2012.
Los ataques se concentran en un solo país. Nuestra telemetría indica que precisamente el 99% de todas las detecciones de MSIL/Agent.NKY de los productos de seguridad de ESET provienen de Israel.
Últimos comentarios