Hola a tod@ y buenas noches, se que es mi segunda entrada (que publicó) y el móvil o razón de porque escribo a estas horas de la noche es sin más ni menos un "nuevo" script malicioso que me hiciera perder las ganas de tomar mi café e irme a dormir por estar investigando el mismo y escribir este artículo, sin más ni menos vamos con la información:}
¿Qúe es?
SORPAMPA (o como le he llamado yo SORPAPA) es una app web relacionada con el dominio 94.23.207.186, que sin más ni menos ha sido reportado por Virus Total como un servidor que esta
permitiendo el tráfico de apps maliciosas destacando en particular SORPAMPA, como pueden
ver en la imagen de arriba es el diseño de está, copiando el estilo de facebook, la web de SORPAMPA
ejecuta automáticamente un script cuidadosamente diseñado para instalar un supuesto
complemento de video para "reproducir" el video, sin embargo podemos notar que los permisos
que requiere no son para nada aceptables de parte del usuario, a menos que queramos dejar nuestra
información en manos de una aplicación que nos apareció por arte de magia en nuestros inbox.
En términos coloquiales es un "virus" que roba la información de nuestro navegador, cookies,
contraseñas, datos de formulario, correos electrónicos, etc.
¿Como se propaga?
Es curioso ya que hasta el momento (escasos 20 minutos de que descubrí este script) no he
encontrado información al respecto, y mi teoría sigue radicando en alguna aplicación de
Facebook o la publicidad generada de algún instalador de un programa, es muy común y mis
teorías apuntan a ello ya que la mayoría de las personas descargan programas sin saber
que instalan otros programas de los cuales desconocen su función, esto al hacer el clásico click en
"siguiente", "siguiente", "siguiente", que más de una vez nos ha pasado, sin embargo la verdadera
trampa es al momento de que se envían mensajes por facebook (inbox) a tus contactos, haciendo
que tus contactos sean victimas del mismo al dar click en el enlace e instalar la extensión,
es un cuadro con la imagen de tu foto de perfil y una frase invitándote a ver un supuesto video
tuyo, algo como aparece en la siguiente imagen:
Tiempo al tiempo, no se tardará mucho en encontrar el origen de esta app, hay información en
inglés y alemán al respecto, cuestión de traducirla y digerir los datos, toda esta reseña es a manera
de prosa simple ya que voy redactando conforme veo resultados en está pequeña investigación
de menos de 30 min.
¿Que tan peligroso es?
Hasta ahora puedo decir que no es muy peligrosa, catalogándola en un nivel medio, ya que es muy
viral al tener varios métodos de propagación, (como el VIH puedes ser pasivo o activo y poder solo
tener el script y contagiarlo a otros o simplemente adquirirlo y ser víctima), y a su vez no buscar
más información del PC, aunque si tu, quien lees este artículo eres de dejar todas tus contraseñas
en el navegador (con la clásica opción de "recordar contraseña"), te recomendaría que cambies
tus contraseñas, ahora si administras tus cuentas bancarias mediante tu navegador de internet pues
te recomiendo cambies correo electrónico y contraseña de esas cuentas, ya que esta app recoge
los datos del navegador, no es completamente seguro que recolecte toda la información (claves, correos, etc), pero si tu historial de navegación, otra posibilidad es que solo sea un script comercial que busque
hacer una base de datos con los gustos y preferencias de las víctimas, sea para sacar un producto
hacer un estudio de mercado, etc, pese a ello viola la seguridad y de un nivel medio no baja este script.
¿Algo más de este virus?
Aparte de que es molesto y ya me han enviado varios "inbox" invitandome a ver el tentador video es que incluso para Google es algo desconocido, la razón más segura de ello es que es uno de los miles de scripts que abundan para el Facebook o demás redes sociales grandes, no es mi tema hablar de virus, bad scripts o malware, sin embargo me llamó la atención aportar sobre algo lo cuál no se sabe con certeza mucho y lo poco que hay está en otros idiomas, antes de omitir cualquier dato también descubrí que la plataforma la alojan con Word Press, al momento de analizar la estructura del sitio con el depurador del navegador encontré que casi todos los elementos del sitio son imágenes alojados en el dominio "local" del sitio, es decir algo similar a: "http:....wp-images/vide-script.jpeg", dato que nos comprueba que en efecto quienes hicieron esto no se tomaron mucho tiempo en hacer esta trampa.
Otro dato curioso es que Virus Total ha analizado los dominios que tiene relación a esta app y en efecto, lo ha considerado como una URL maliciosa, si tenemos Avast, Avira Internet Security o Total Defender nos podrá detectar como virus está dirección.
¿Como evitarlo, o en su caso, eliminarlo?
Como mencionaba arriba, es nuevo para mi este script, no puedo publicar un método único para este script, sin embargo, al ver que es una estructura similar a otros virus del mismo tipo puedo darles algunos consejos sobre como eliminar el programa o aplicación que nos envió este problema, ya que envía el link del virus a todos nuestros contactos:
1. Des instala todas las apps que tengas de Facebook.
2. Elimina cualquier programa que hayas instalado recientemente de fuentes no seguras.
3. Ejecuta un análisis de tu antivirus
4. Elimina cualquier extensión que tengas instalada en tus navegadores y de la cuál desconozcas su uso, activa el modo desarrollador ya que a veces son extensiones que se instalan de esta forma para no ser visibles a primera vista.
Y para evitarlo es aún más sencillo:
1. Has caso omiso a enlaces que te envién por inbox (principalmente este medio), publicaciones en tu muro, etc.
2. No des click a este script, para diferenciarlo basta con identificar que el script está en inglés, para orientarte más arriba del artículo pongo una imagen de como es.
3. Notifica a la persona que te lo envió de lo mismo, el script se envía sin consentimiento del usuario, por lo tanto es bueno notificarle a la persona que te lo envió de lo mismo para que tome cartas en el asunto.
Una disculpa si es poca la información, sin embargo el artículo es fresco al igual que este virus, no dudes en dejar en los comentarios tu información al respecto, será añadida al artículo con el fin de ayudar a las personas que lleguen a tener este mal, espero vuestros comentarios y me despido hasta otra entrada. Saludos Hats¡
Otro dato curioso es que Virus Total ha analizado los dominios que tiene relación a esta app y en efecto, lo ha considerado como una URL maliciosa, si tenemos Avast, Avira Internet Security o Total Defender nos podrá detectar como virus está dirección.
¿Como evitarlo, o en su caso, eliminarlo?
Como mencionaba arriba, es nuevo para mi este script, no puedo publicar un método único para este script, sin embargo, al ver que es una estructura similar a otros virus del mismo tipo puedo darles algunos consejos sobre como eliminar el programa o aplicación que nos envió este problema, ya que envía el link del virus a todos nuestros contactos:
1. Des instala todas las apps que tengas de Facebook.
2. Elimina cualquier programa que hayas instalado recientemente de fuentes no seguras.
3. Ejecuta un análisis de tu antivirus
4. Elimina cualquier extensión que tengas instalada en tus navegadores y de la cuál desconozcas su uso, activa el modo desarrollador ya que a veces son extensiones que se instalan de esta forma para no ser visibles a primera vista.
Y para evitarlo es aún más sencillo:
1. Has caso omiso a enlaces que te envién por inbox (principalmente este medio), publicaciones en tu muro, etc.
2. No des click a este script, para diferenciarlo basta con identificar que el script está en inglés, para orientarte más arriba del artículo pongo una imagen de como es.
3. Notifica a la persona que te lo envió de lo mismo, el script se envía sin consentimiento del usuario, por lo tanto es bueno notificarle a la persona que te lo envió de lo mismo para que tome cartas en el asunto.
Una disculpa si es poca la información, sin embargo el artículo es fresco al igual que este virus, no dudes en dejar en los comentarios tu información al respecto, será añadida al artículo con el fin de ayudar a las personas que lleguen a tener este mal, espero vuestros comentarios y me despido hasta otra entrada. Saludos Hats¡
Comentarios
Publicar un comentario