Los estafadores están inundando Facebook con grupos que pretenden ofrecer servicios funerarios en streaming para personas recientemente fallecidas. A los amigos y familiares que siguen los enlaces de los servicios de streaming se les pide que proporcionen la información de su tarjeta de crédito. Recientemente, estos estafadores se han diversificado y ofrecen servicios de streaming falsos para casi cualquier tipo de evento anunciado en Facebook. Aquí hay una mirada más cercana al tamaño de este esquema y algunos hallazgos sobre quién puede ser responsable. Una de las muchas páginas de grupos funerarios fraudulentos en Facebook. Al hacer clic para ver la «transmisión en vivo» del funeral, se accede a un sitio web recién registrado que solicita información de la tarjeta de crédito. KrebsOnSecurity escuchó recientemente de un lector llamado George que dijo que un amigo acababa de fallecer y notó que se había creado un grupo de Facebook en memoria de ese amigo. La página enumeraba la hora y la fecha correctas del servicio funerario, que afirmaba que se podía transmitir por Internet siguiendo un enlace que conducía a una página que solicitaba información de la tarjeta de crédito. «Después de publicar sobre el sitio, un amigo mío me indicó que no podía ver el servicio en directo, pero que no podía ver el servicio en directo. [the same thing] «Le pasó a ella cuando su amiga falleció hace dos semanas», dijo George. Si buscamos en Facebook/Meta algunas palabras clave simples como «funeral» y «transmisión», se revelan innumerables páginas de grupos funerarios en Facebook, algunas de ellas para servicios en el pasado y otras creadas para un funeral próximo. Todos estos grupos incluyen imágenes del difunto como foto de perfil y buscan canalizar a los usuarios a un puñado de sitios web de transmisión de video recientemente registrados que requieren un pago con tarjeta de crédito antes de poder continuar. Aún más irritante, algunas de estas páginas solicitan donaciones en nombre del difunto. No está claro cuántos usuarios de Facebook caen en esta estafa, pero vale la pena señalar que muchos de estos grupos funerarios falsos atraen suscriptores de al menos algunos de los seguidores del difunto, lo que sugiere que esos usuarios se han suscrito a los grupos anticipando la transmisión del servicio. Tampoco está claro cuántas personas terminan perdiéndose el funeral de un amigo o un ser querido porque pensaron erróneamente que se estaba transmitiendo en línea. Una de las muchas páginas de destino que parecen similares a los servicios de transmisión de video vinculados a grupos funerarios fraudulentos de Facebook. George dijo que la página del funeral de su amigo en Facebook incluía un enlace al supuesto servicio transmitido en vivo en livestreamnow.[.]xyz, un dominio registrado en noviembre de 2023. Según DomainTools.com, la organización que registró este dominio se llama “apkdownloadweb”, tiene su sede en Rajshahi, Bangladesh, y utiliza los servidores DNS de una empresa de alojamiento web en Bangladesh llamada webhostbd[.]Una búsqueda de “apkdownloadweb” en DomainTools muestra tres dominios registrados a nombre de esta entidad, incluido live24sports[.]xyz y transmisión en línea[.]xyz. Ambos dominios también utilizan webhostbd[.]net para DNS. Apkdownloadweb tiene una página de Facebook, que muestra una serie de avances de «video en vivo» de eventos deportivos que ya han sucedido, y dice que su dominio es apkdownloadweb[.]com. Transmisión en vivo ahora[.]Actualmente, xyz está alojado en un proveedor de alojamiento web de Bangladesh llamado cloudswebserver[.]com, pero los registros DNS históricos muestran que este sitio web también utilizó servidores DNS de webhostbd[.]net. La dirección de Internet de livestreamnow[.]xyz es 148.251.54.196, del gigante de hosting Hetzner en Alemania. DomainTools muestra que esta misma dirección de Internet alberga casi otros 6000 dominios (.CSV), incluidos cientos que hacen referencia a términos de transmisión de video, como watchliveon24[.]com y foxsportsplus[.]com. Hay miles de dominios en esta dirección IP que incluyen o terminan con las letras “bd”, el dominio de nivel superior del código de país de Bangladesh. Aunque muchos dominios corresponden a sitios web de tiendas de electrónica o blogs sobre temas de TI, muchos otros contienen una buena cantidad de contenido de marcador de posición (piense en el texto “lorem ipsum” en la página de “contacto”). En otras palabras, los sitios parecen legítimos a primera vista, pero al examinarlos más de cerca queda claro que actualmente no los utilizan empresas activas. Los registros DNS pasivos para 148.251.54.196 muestran una sorprendente cantidad de resultados que son básicamente dos nombres de dominio mezclados. Por ejemplo, hay watchliveon24[.]com.playehq4ks[.]com, que muestra enlaces a varios grupos de transmisión de servicios funerarios en Facebook. Otro dominio combinado en la misma dirección de Internet: livestreaming24[.]xyz.allsportslivenow[.]com — enumera docenas de enlaces a grupos de Facebook para funerales, pero también para prácticamente todo tipo de eventos que son anunciados o publicados por los usuarios de Facebook, incluyendo graduaciones, conciertos, ceremonias de premios, bodas y rodeos. Incluso los eventos comunitarios promocionados por los departamentos de policía estatales y locales en Facebook son presa fácil para estos estafadores. Una página de Facebook mantenida por la fuerza policial en Plympton, Massachusetts para un evento social de la ciudad este verano llamado Plympton Night Out se convirtió rápidamente en dos grupos diferentes de Facebook que informaban a los visitantes que podían transmitir las festividades en espnstreamlive.[.]co o skysports[.]en vivo. ¿QUIÉN ESTÁ DETRÁS DE LOS FUNERALES DE FAKEBOOK? Recordemos que el registrante de livestreamnow[.]xyz —el sitio de transmisión falso vinculado en el grupo de Facebook del difunto amigo de George— era una organización llamada “Apkdownloadweb”. El dominio de esa entidad —apkdownloadweb[.]com — está registrado en Mazidul Islam en Rajshahi, Bangladesh (este dominio también utiliza Webhostbd[.]La página de LinkedIn de Mazidul Islam dice que es el organizador de un blog de TI ahora desaparecido llamado gadgetsbiz[.]com, que DomainTools descubre que estaba registrado a nombre de Mehedi Hasan de Rajshahi, Bangladesh. Para cerrar el círculo, DomainTools encuentra el nombre de dominio del proveedor de DNS en todos los sitios mencionados anteriormente: webhostbd[.]net — se registró originalmente a nombre de Md Mehedi y a la dirección de correo electrónico webhostbd.net@gmail.com (“MD” es una abreviatura común de Muhammad/Mohammod/Muhammed). Una búsqueda de esa dirección de correo electrónico en Constella encuentra un registro violado del corredor de datos Apollo.io que dice que el nombre completo de su propietario es Mohammod Mehedi Hasan. Desafortunadamente, este no es un nombre particularmente único en esa región del mundo. Pero, por suerte, en algún momento del año pasado, el administrador de apkdownloadweb[.]com logró infectar su PC con Windows con malware que roba contraseñas. Lo sabemos porque los registros sin procesar de los datos robados de la PC de este administrador fueron indexados por el servicio de seguimiento de infracciones Constella Intelligence. [full disclosure: As of this month, Constella is an advertiser on this website]Estos denominados «registros de robo» se generan principalmente por infecciones oportunistas de troyanos que roban información y que se venden en los mercados de delitos cibernéticos. Un conjunto típico de registros de una PC comprometida incluirá todos los nombres de usuario y contraseñas almacenados en cualquier navegador del sistema, así como una lista de las URL visitadas recientemente y los archivos descargados. Los proveedores de malware a menudo implementarán malware de robo de información al incluirlo en títulos de software «craqueados» o pirateados. De hecho, los registros de robo para el administrador de apkdownloadweb[.]com muestra que la PC de este usuario se infectó inmediatamente después de descargar un kit de herramientas de desarrollo de aplicaciones móviles con trampa. Esas credenciales robadas indican que Apkdownloadweb[.]com es administrado por un veinteañero nativo de Dhaka, Bangladesh, llamado Mohammod Abdullah Khondokar. La carpeta «historial del navegador» del administrador de Apkdownloadweb muestra que Khondokar dejó recientemente un comentario en la página de Facebook de Mohammod Mehedi Hasan, y el perfil de Facebook de Khondokar dice que los dos son amigos. Ni MD Hasan ni MD Abdullah Khondokar respondieron a las solicitudes de comentarios. KrebsOnSecurity también solicitó comentarios a Meta.