Los cibercriminales hacen circular mensajes con falsos vídeos de los usuarios para engañarlos y que pulsen en enlace, tras lo cual acceden a una web que simula ser la de YouTube y que descarga el malware. Ya es la segunda amenaza más detectada en España, con una prevalencia del 26,87%.
Investigadores de ESET alertan sobre un malware conocido como Submelius, que se ha convertido en una de las amenazas más detectadas en España en los últimos días. Los ciberdelincuentes que hay detrás del malware utilizan Facebook Messenger como plataforma de distribución y, además, usan la imagen de la víctima para engañarla.
Detectado por ESET como JS/Chromex.Submelius, el malware utiliza extensiones del navegador Google Chrome con el objetivo de poder robar información, descargar malware o bombardear al usuario con publicidad, pero, para llegar a este punto, engaña previamente a las víctimas. Para ello, les envía a través de Facebook Messenger un mensaje de uno de sus contactos advirtiéndoles de que estaría circulando un vídeo sobre ellos, para lo que se muestra la previsualización en la aparece su imagen, la cual ha sido obtenida de su propio perfil gracias a que el contacto ha sido previamente infectado. Con esta estrategia consiguen que muchos usuarios pulsen sobre el enlace para ver qué tipo de vídeo se está compartiendo sobre su persona.
Una vez pulsa sobre el enlace, el usuario es redirigido a una web maliciosa que simula ser la de YouTube. “Hay que reconocer que los delincuentes se han molestado en replicar la web de esta empresa utilizando los mismos logos y disposición de elementos, e incluso aplicando un certificado válido que proporcione la verificación de seguridad mediante el protocolo de cifrado HTTPS. Sin embargo, fallan en lo más elemental, la URL no tiene nada que ver con la de YouTube“, explica Josep Albors, responsable de la investigación realizada por el laboratorio de ESET España.
Cuando el usuario intente reproducir el vídeo deberá instalar un complemento para el navegador, presentando la misma opción una y otra vez hasta que el usuario la acepte o cierre la página. Una vez instalada la extensión, los delincuentes redirigen a la víctima a la web de registro de Facebook. Si introduce sus credenciales, estas serán robadas por la extensión maliciosa y utilizadas para acceder a la cuenta del usuario y así seguir propagando la amenaza entre su lista de contactos con el mismo procedimiento.
Submelius ha llegado con una prevalencia del 26,87%, según ESET, y en el balance mensual solo se halla por detrás del minado no autorizado de criptomonedas y la estafa del falso soporte técnico. Además, junto a Italia, Suecia y Dinamarca es uno de los países con más detecciones de este tipo de malware.
Fuente: itdigitalsecurity