Las redes sociales son una plataforma cada vez más utilizada por los usuarios para intercambiar flujos de información, hasta el punto que solo Facebook cuenta ya con más de 800 millones de usuarios activos. Otra red que también cuenta con popularidad, aunque en menor medida, es Twitter. La famosa red de microblogging, que ha adoptado una importancia vital en el desarrollo de las últimas revueltas árabes, es una plataforma que ha sufrido muchos ataques por parte de los cibercriminales. El último de ellos ha vulnerado ya las cuentas de más de 2.000 usuarios de la red, que han enviado una gran cantidad de enlaces maliciosos a través de sus contactos.
El modus operandi del ataque es sencillo. Se utilizan cuentas falsas de Twitter o cuentas vulneradas de los usuarios y a través de ellas se lanzan mensajes con enlaces que redirigen a sitios con contenido malicioso. En este caso, los mensajes conducen a páginas que invitan al usuario a instalar un antivirus aparentemente legítimo (un clásico de las infecciones). Si el usuario comete el error de descargar el archivo, se introduce el sistema un troyano (se han identificado las versiones Trojan-FakeAV.Win32.Agent.dqs y Trojan-FakeAV.Win32.Romeo.dv). Estas amenazas asustan al usuario con infecciones falsas y amenazas de seguridad para que paguen una cantidad de dinero y compren así una versión completa del programa falso, o incluso aprovechan para robar las credenciales bancarias de la víctima en el momento que van a realizar el pago.
Los usuarios hispano parlantes tiene la suerte de que esta campaña se realiza de momento a través de mensajes en inglés. Además de esta característica, los mensajes son poco elaborados y los enlaces a los que redirige el mensaje fraudulento han aparecido con los sufijos «.tk» y «.su». No se sabe a ciencia cierta cuantos usuarios pueden estar afectados ya por esta campaña. El último recuento que llevó a cabo la empresa de seguridad ESET hablaba de cerca de 80.000 tweets que dirigían a los falsos antivirus. Además de estos programas aparentemente legítimos, los cibercriminales también se han valido de una herramienta llamada Blackhole. Este programa malicioso se aprovecha de las vulnerabilidades antiguas de los navegadores, en concreto en plugins antiguos como Java, Flash Player, o Adobe Reader. El peligro de esta herramienta está en que no necesita de ninguna acción por parte del usuario para instalar malware en el sistema. Por ello, se recomienda a los usuarios mantener actualizados sus navegadores para evitar que esta herramienta pueda introducirse en el equipo.
De momento no se conoce el techo que puede tener esta campaña de spam, ya que las cifras están aumentando de manera exponencial y los últimos datos que se conocen corresponden al viernes. Lo que está claro es que se trata de un ataque sofisticado que podría provenir de una red de cibercriminales y que amenaza con convertirse en una epidemia en Twitter. Muchas veces se ha criticado que Twitter acorte los links que aparecen en los tweets de los usuarios, ya que se dificulta la identificación del sitio y puede llevar a los usuarios a hacer click en el enlace sin darse cuenta de que se trata de un sitio malicioso.
