5 January, 2012

Ramint, un gusano de Facebook que ha robado 45,000 cuentas y va por más

Por

El gusano Ramnit le entró al Social Media, pero contrario a compartir consejos, contenidos o información quiere los nombres y claves de acceso de los más de 800 millones de usuarios de Facebook. Aunque la tarea es titánica, en un par de semanas ha logrado robar más de 45,000 credenciales alrededor del mundo.

Esto, de acuerdo con lo publicado  en el blog de la firma de seguridad Seculert Research Lab, que afirman que a finales del año pasado encontró un servidor que funcionaba como  Centro de Comando para el gusno con un directorio bautizado como “Facebook”, el cual ya contenía los nombre de usuarios y contraseñas de los 50,000 miembros de la red.

Aunque la mayoría de las cuentas pertenecen a usuarios de Francias y Reino Unido, los expertos aseguran que la propagación del gusano es global. De hecho, la empresa confirmó que a finales de diciembre 2011 Ramnit había infectado a más de 800,000 máquinas en cada rincón del planeta.

“Sospechamos que los atacantes detrás de Ramnit están usando las credencial robadas para propagar el malware, vía vínculos maliciosos, en los muros de otros usuarios de Facebook”, explicaron.

Los expertos de Seculert Lab también reconocen que como los usuarios “tienden a utilizara la misma contraseña de acceso para otros servicios Web como Gmail, Yahoo, PayPal o correos de trabajo”, es posible que se propague el robo de información.

Ramint es un gusano que fue detectado, en abril de 2010, como una programa dedicado a robar información almacenada en sistemas Windows  y sitios web  HTML. Sus archivos favoritos son claves de acceso, nombre de usuarios, cookies y contraseñas en sitios web.

En julio pasado, Symantec reportó una variante del gusano que utilizaba partes del código de Zeus, lo cual le entregó al gusano capacidad para atacar el sector financiero.

Los mismo expertos de Seculert afirman que la mezcla de Zeus, permitió a Ramnit “saltar el doble factor de autenticación de los servicios en los bancos en línea, ganar acceso remoto a los servidores de la institución financiera y comprometer las sesiones de banca electrónica de los usuarios”.

¿Cómo protegerse?

El problema con este malware es que utilizan el método de infección “drive-by download” con el cual, simplemente, basta con el usuario entre a un sitio comprometido o maliciosos y aunque no dé clic en ningún enlace en el sitio estará infectado con el gusano.

En Facebook, los expertos señalan que la mejor de permanecer a salvo de la infección y el robo de credenciales es no dar clic en ligas o comentarios sospechosos en el muro del usuario o de sus “amigos”. Al mismo tiempo,  urgen a los usuarios a no utilizar la misma contraseña para todos los servicios Web y a cambiar la contraseña en caso de que noten comportamiento extraños en sus cuentas de Facebook.