Los ciberdelincuentes también operan en el espacio de las redes sociales, y recientemente se descubrió un caso impactante en Facebook, donde se utilizan páginas comerciales y anuncios clasificados de Facebook para anunciar temas y diseños falsos de Windows que infectan a los usuarios con malware.
Pero este es el único cebo utilizado. También se han fomentado las descargas falsas de juegos y software pirateados, como Sora AI, el tan esperado generador de vídeo de OpenAI que aún no se ha lanzado, Photoshop, Microsoft Office y Windows.
Como dijimos, esos anuncios clasificados se muestran en páginas comerciales de Facebook recién creadas o pirateando páginas existentes y renombrándolas para que sean consistentes con lo que anuncian.
Este último caso es aún más preocupante porque la página pirateada tiene una base de seguidores que puede ser numerosa, lo que puede dar a los usuarios una falsa sensación de seguridad y hacer que muerdan el anzuelo antes.
La investigación reveló que esas páginas eran administradas a través de ciberdelincuentes ubicados en Vietnam o Filipinas. Por otro lado, el número de anuncios clasificados de cruzada es enorme, siendo el mayor de ellos con más de 8. 000 anuncios clasificados.
Cuando un usuario hace clic en el anuncio, se le dirige a sitios alojados en Google Sites o True Hosting que afirman ser páginas de descarga del contenido promocionado en el anuncio.
Cuando haces clic en los botones de descarga, el navegador descarga un registro ZIP con un nombre tradicional. Por ejemplo, si el usuario va a descargar FIFA 24, el ZIP se llama «FIFA24. ZIP».
Sin embargo, este registro comprende el malware SYS01, que utiliza una serie de técnicas para obtener datos prestados de la computadora infectada. Cuando se carga el ejecutable principal del archivo, se carga una biblioteca de datos maliciosos y comienza a configurar todo para que el malware pueda funcionar bien a partir de ese momento.
Por ejemplo, esta biblioteca de conocimientos comprende la instrucción de que el malware no se ejecuta en un entorno virtualizado para ser detectado por un antivirus.
También evita tocar ciertas carpetas monitoreadas a través de Windows Defender y, finalmente, intenta crear responsabilidades programadas para permanecer en la fórmula en el tiempo y así tomar prestados sus datos, como cookies, contraseñas e historial del navegador o billeteras de criptomonedas.
El malware también incluye una tarea que utiliza cookies de Facebook descubiertas en el dispositivo para obtener información de la cuenta, lo que permite a los ciberdelincuentes secuestrar páginas de Facebook y perpetuar este ciclo malicioso.
Los datos robados en las cuentas de Facebook incluyen nombre, dirección de correo electrónico y fecha de nacimiento, así como datos detallados de la cuenta publicitaria, agregando métodos de pago y gastos; y puntos principales sobre las páginas de Facebook administradas por usuarios, como la cantidad de fanáticos y roles dentro de ellas.
Cuando se obtiene todo este conocimiento, se almacena temporalmente en la carpeta %Temp% antes de enviarlo a los ciberdelincuentes. Con toda esta información, además de para ellos mismos, los ciberdelincuentes pueden venderla en la Internet profunda para obtener un beneficio mientras poniendo en peligro aún más sus cuentas y conocimientos.
Sin embargo, cabe mencionar que esta cruzada de malware no se limita a Facebook, ya que se han observado casos similares en LinkedIn y YouTube con anuncios creados con herramientas de inteligencia sintética.
Si bien los ciberdelincuentes no son nuevos en el empleo de anuncios clasificados de Facebook para difundir malware, la cantidad de víctimas que están empleando hoy en día sigue siendo alarmante.
Vía: Bleeping Computer