Business Flash Player: el falso Adobe Flash Player

Extensión Google Chrome infectada

Una imitación de Adobe Flash Player, llamada Business Flash Player, está siendo utilizada por ciberdelincuentes para obtener “Me gusta” en páginas de varias campañas, con solo 2 clics, para luego venderlo a otros clientes. 
Este tipo de estafas son muy lucrativas para sus creadores. Con solamente un par de líneas de códigos, muchos de los cuales se han convertido en fuente abierta en la web y están listos para copiar y pegar, los atacantes pueden conseguir un número importante de “Me Gusta” de usuarios incautos de Facebook y hacer crecer una página que está a punto de ser vendida al mejor postor. 

Después de que la transacción se haya hecho, el comprador obtiene derechos administrativos en la página y decide escoger un nombre relevante para la misma.  Como la posición de una página en el Edge Rank depende del número de “Me gusta” que tenga, a través de un algoritmo se decide los usuarios que verán las actualizaciones de contenido de la página.

Las compañías en la sombra y los ciberdelincuentes hacen ofertas para páginas que ya cuentan con un número considerable de “Me gusta”.  La historia de los más de 40.000 “Me gusta” empieza con un enlace aparentemente inofensivo, a una página de vídeos aparentemente inofensivos. La página se encuentra localizada en un dominio internacional, xn—47aaeaba.com¸que redirige rápidamente a [removed] e.com, un dominio que se registró el 17/02/2013 en Turquía y cuyo propietario pidió que su información de contacto no se publicase. Esta página le pide a la víctima que se instale una versión especial de Flash Player para poder ver el contenido del vídeo.                   

Las víctimas a través de Google Chrome son redirigidos a la página del plugin en la tienda de Google Chrome, en el que se solicita la instalación de una ampliación que se llama Business Flash Player, una ampliación maliciosa para el navegador que le permite tener acceso a las cookies de Facebook y a páginas similares, en nombre del usuario. La ampliación obtiene un fragmento del código de Javascript de un enlace corto codificado en el plugin. En el momento de escribir, el fragmento del código aparece así (esto puede cambiar en cualquier momento, depende de la campaña, en la que se ha dado a “Me gusta”, se ejecute el plugin). La última línea del código que indica el navegador del usuario como una página de Facebook con el ID de 274169846047328. Un rápido vistazo en la plataforma de la red social revela que está asociado con Mehmet Özbilen, una página de Facebook que logró obtener 40.319 “Me gusta”, desde su creación en Febrero de 2012 sin ningún post publicado en el muro.