Koobface es un gusano de red que ataca las plataformas Microsoft Windows , Mac OS X y Linux . [1] [2] [3] Este gusano se dirigió originalmente a usuarios de sitios web de redes como Facebook , Skype , Yahoo Messenger y sitios web de correo electrónico como GMail , Yahoo Mail y AOL Mail . También se dirige a otros sitios web de redes, como MySpace , Twitter , [4] y puede infectar otros dispositivos en la misma red local. [5] Estafadores de soporte técnicotambién afirman fraudulentamente a las víctimas previstas que tienen una infección de Koobface en su computadora mediante el uso de ventanas emergentes falsas y el uso de programas integrados de Windows. [6] [7] [8]
En última instancia, Koobface intenta, tras una infección exitosa, recopilar información de inicio de sesión para sitios FTP , Facebook, Skype y otras plataformas de redes sociales, y también cualquier información financiera confidencial. [9] Luego utiliza computadoras comprometidas para construir una botnet peer-to-peer . Una computadora comprometida se pone en contacto con otras computadoras comprometidas para recibir comandos de igual a igual. [10] La botnet se utiliza para instalar malware adicional de pago por instalación en la computadora comprometida y secuestrar consultas de búsqueda para mostrar anuncios. Su topología de igual a igual también se utiliza para mostrar mensajes falsos a otros usuarios con el fin de expandir la botnet. [11]Se detectó por primera vez en diciembre de 2008 y apareció una versión más potente en marzo de 2009. [12] Un estudio realizado por Information Warfare Monitor , una colaboración conjunta de SecDev Group y Citizen Lab en la Munk School of Global Affairs de la Universidad de Toronto. , ha revelado que los operadores de este plan han generado más de 2 millones de dólares en ingresos desde junio de 2009 a junio de 2010. [9]
Koobface originalmente se propagó entregando mensajes de Facebook a personas que son "amigos" de un usuario de Facebook cuya computadora ya había sido infectada. Una vez recibido, el mensaje dirige a los destinatarios a un sitio web de terceros (u otra PC infectada con Koobface), donde se les solicita que descarguen lo que supuestamente es una actualización del reproductor Adobe Flash . Si descargan y ejecutan el archivo, Koobface puede infectar su sistema. A continuación, puede controlar el uso del motor de búsqueda de la computadora y dirigirlo a sitios web contaminados. También puede haber enlaces al sitio web de terceros en el muro de Facebook del amigo del que proviene el mensaje que a veces tiene comentarios como LOL o YOUTUBE. Si se abre el enlace, el virus troyano infectará la computadora y la PC se convertirá en una computadora zombi o host.
Entre los componentes descargados por Koobface se encuentran un programa de filtro de DNS que bloquea el acceso a sitios web de seguridad conocidos y una herramienta de proxy que permite a los atacantes abusar de la PC infectada. En un momento, la pandilla Koobface también usó Limbo, un programa de robo de contraseñas.
En enero de 2012, el New York Times informó [20] que Facebook planeaba compartir información sobre la pandilla Koobface y nombrar a los que creía que eran responsables. Se dijo que las investigaciones del investigador alemán Jan Droemer [21] y del Centro de Aseguramiento de la Información e Investigación Forense Conjunta [22] de la Universidad de Alabama en Birmingham ayudaron a descubrir las identidades de los responsables.
Facebook finalmente reveló los nombres de los sospechosos detrás del gusano el 17 de enero de 2012. Entre ellos se encuentran Stanislav Avdeyko (leDed), Alexander Koltyshev (Floppy), Anton Korotchenko (KrotReal), Roman P. Koturbach (PoMuc), Svyatoslav E. Polichuck ( PsViat y PsycoMan). Tienen su sede en San Petersburgo , Rusia . El grupo a veces se conoce como Ali Baba & 4 con Stanislav Avdeyko como líder. [23] La investigación también conectó a Avdeyko con el software espía CoolWebSearch . [21]