Los ciberdelincuentes también trabajan en el terreno de las redes sociales, y recientemente se ha hallado un caso impactante en Facebook, donde se están usando páginas de negocios de Facebook y anuncios para promover temas y diseños falsos de Windows que infectan a los usuarios con malware.
No obstante, no ha sido este el único cebo utilizado. También se promocionaban descargas falsas de juegos pirateados y software crackeado, como Sora AI, el esperado generador de vídeos de OpenAI que aún no ha salido a la luz, Photoshop, Microsoft Office y Windows.
Como decíamos, estos anuncios se muestran a través de páginas de negocios de Facebook recién creadas o secuestrando páginas existentes y renombrándolas para que sea coherente con lo que están anunciando.
Este último caso es aún más preocupante, ya que la página secuestrada cuenta con una base de seguidores que puede ser numerosa, lo cual puede dar una falsa sensación de seguridad a los usuarios y hacer que piquen antes el anzuelo.
La investigación ha revelado que estas páginas estaban administradas por ciberdelincuentes situados en Vietnam o Filipinas. Por otro lado, la cantidad de anuncios para cada campaña es masiva, teniendo la mayor de ellas más de 8.000 anuncios.
Cuando alguien hace clic en el anuncio, es dirigido a webs alojadas en Google Sites o True Hosting que pretenden ser páginas de descarga para el contenido promocionado en el anuncio.
Al hacer clic en los botones de descarga, el navegador descarga un archivo ZIP con un nombre personalizado. Por ejemplo, si el usuario está buscando descargar el FIFA 24, el ZIP se llama "FIFA24.ZIP".
Sin embargo, este archivo en realidad contiene el malware SYS01, que usa una serie de técnicas para robar datos del ordenador infectado. Cuando se carga el ejecutable principal del archivo, se carga una biblioteca de datos maliciosa que comienza a configurarlo todo para que el malware pueda funcionar correctamente de ahí en adelante.
Por ejemplo, esta biblioteca de datos contiene la instrucción de que el malware no se ejecute en un entorno virtualizado para evitar que los antivirus lo detecten.
También evita tocar ciertas carpetas que están vigiladas por Windows Defender y, por último, trata de crear tareas programadas para mantenerse en el tiempo en el sistema y así robar sus datos, como cookies, contraseñas e historial del navegador o carteras de criptomonedas.
El malware también incluye una tarea que utiliza cookies de Facebook encontradas en el dispositivo para robar información de la cuenta, lo que a su vez le permite a los ciberdelincuentes secuestrar páginas de Facebook y perpetuar este ciclo malicioso.
La información robada de las cuentas de Facebook incluye nombre, correo electrónico y fecha de nacimiento, además de datos detallados de la cuenta publicitaria, incluyendo gastos y métodos de pago; y detalles sobre páginas de Facebook administradas por el usuario, como el número de seguidores y los roles dentro de esta.
Cuando se consiguen todos estos datos, se almacenan temporalmente en la carpeta %Temp% antes de ser enviados a los ciberdelincuentes. Con toda esta información, además de usarla para sí mismos, los ciberdelincuentes pueden venderla en la Deep Web para obtener beneficios mientras ponen tus cuentas y datos aún más en riesgo.
No obstante, es importante mencionar que esta campaña de malware no solo se limita a Facebook, ya que se han observado casos similares en LinkedIn y YouTube con anuncios creados con herramientas de inteligencia artificial.
Aunque el hecho de que los ciberdelincuentes usen anuncios en Facebook para distribuir malware no es nuevo, no deja de ser alarmante el número de víctimas que se lleva consigo a día de hoy.
Vía: BleepingComputer
- Ver Comentarios