A partir del día lunes 26 de octubre se comenzó a propagar un malware por medio de correo electrónico, supuestamente de Facebook, el cual era una invitación para restablecer la contraseña de dicho servicio.

Algo importante que vale la pena destacar es la dirección de donde proviene dicho correo. Pues, viene de support@facebook.com. Como podemos ver, es fácil caer en el engaño, pues al parecer la dirección de la cual proviene es real. Pero, hay que tener en cuenta que sitios de redes sociales o correos gratuitos nunca piden renovar o cambiar su contraseña por correo electrónico. Así, que hay que tener mucho cuidado con esto.

El correo enviado, puede contener cualquiera de los siguientes archivos:

  • Facebook_Password_e9081.zip
  • FACEBOOK_PASSWORD_52132.ZIP
  • Facebook_Password_6dd19.zip
  • Facebook_Password_4cf91.zip
  • FACEBOOK_PASSWORD_50573-1.ZIP
  • Facebook_Password_c92dd.zip
  • FACEBOOK_PASSWORD_7A343.zip

El archivo .zip contiene dentro un archivo .exe el cual se conecta a dos servidores con el fin de descargar archivos maliciosos y hacerlo parte de la botnet Bredolab. Lo que indica que los atacantes tendrán completo control de nuestro ordenador con el fin de robar información del usuario y enviar correo spam. Uno de los servidores está en Holanda y el otro en Kazajistán.