Tecnología

Advierten de maliciosa modalidad de estafa en redes sociales: ciberdelincuentes robarían datos privados con contenido para adultos

Las personas no se dan cuenta del engaño hasta cuando extraen los datos del navegador como las credenciales.

Redacción Tecnología
17 de julio de 2024
Las personas no se dan cuenta de la estafa hasta cuando llega la factura.
Las personas no se dan cuenta de la estafa hasta cuando llega la factura. | Foto: Getty Images

Investigadores de Trustwave han advertido sobre una nueva campaña de publicidad maliciosa en Facebook, que utiliza como gancho anuncios para descargar temas de escritorio de Windows, así como juegos y software pirateados, que acaban implementando el malware SYS01 en el equipo con el objetivo de robar información y secuestrar cuentas de la red social.

El malware SYS01, que ya fue descubierto por la compañía de ciberseguridad Morphisec en noviembre de 2022, se utiliza habitualmente para robar información de cuentas comerciales de Facebook, ya que extrae datos del navegador como credenciales de inicio de sesión, datos del historial o cookies.

Así, tal y como se ha podido comprobar en otras ocasiones, este malware se basa normalmente en archivos Zip maliciosos disfrazados con contenido para adultos. Sin embargo, en esta nueva campaña, los ciberdelincuentes han modificado su contenido para llamar la atención con anuncios que llegan a más usuarios de forma general, como son los de temas de escritorio de Windows o juegos.

Conozca los malware que pueden robar sus datos
Cuidado con el robo de datos a través de malware | Foto: Universal Images Group via Getty

La compañía de ciberseguridad Trustwave ha detallado en un comunicado en su web que el estudio en curso de su equipo de inteligencia de amenazas SpiderLabs, que sigue una investigación previa sobre el malware ladrón Ov3r_Stealer, identifica cómo los actores de amenazas utilizan Facebook para desarrollar actividades maliciosas con una nueva versión del malware ladrón SYS01.

En concreto, tal y como explica el informe, la campaña de malware SYS01 ha estado en funcionamiento desde aproximadamente septiembre del año pasado y continúa activa. Su modus operandi consiste en promocionar anuncios falsos a través de páginas de Facebook, ya sean creadas especialmente para esta tarea o mediante el secuestro de páginas previamente existentes. En este último caso, los actores maliciosos cambian el nombre de la página para adaptarse al tema que vayan a anunciar.

Los anuncios falsos se utilizan como reclamo para engañar a los usuarios y conseguir que descarguen el malware. Para ello, promocionan asuntos de interés general, como son los temas escritorio para Windows y la descarga de juegos o software pirateados, como el programa de creación de video Sora AI, o aplicaciones conocidas como Photoshop y Microsoft Office.

Una vez hace clic en el anuncio, el usuario llega a una página web alojada en Google Sites o True Hosting donde, supuestamente, debe descargar el contenido ofertado en el anuncio. Sin embargo, lo que descarga realmente es un archivo ZIP con el nombre del elemento del anuncio. Según ejemplificó Trustwave, los archivos suelen tener nombres como Awesome_Themes_for_Win_10_11.zip para los temas de Windows, o Adobe_Photoshop_2023.zip para las supuestas descargas de Photoshop.

Los archivo ZIP descargan el malware SYSO1, que utiliza ejecutables DLL, scripts de PowerSell y scripts PHP para instalar el malware y robar datos del ordenador donde se haya instalado. Concretamente, con el script de PowerShell se evita la detección del malware, ya que permite que se ejecute en un entorno virtualizado.

Así funciona la estafa del cupón en Airbnb: esto es lo que pide el anfitrión para engañar.
Así funciona la estafa del cupón en Airbnb: esto es lo que pide el anfitrión para engañar. | Foto: Getty Images

Siguiendo esta línea, el malware SYS01 utiliza los scripts PHP para crear tareas y robar datos del dispositivo, lo cual incluye las cookies, el historial y las credenciales guardadas en el navegador, incluso billeteras de criptomonedas.

Los investigadores han desarrollado que, aunque no es la primera vez que se utilizan campañas publicitarias falsas para difundir malware, en este caso, se trata de una campaña peligrosa por el alcance que tiene al utilizar Facebook.

Esto se debe a que, según han señalado desde Trustwave, la red social de Meta dispone de alrededor de 2.900 millones de usuarios activos mensuales y, además, 200 millones de cuentas comerciales. También se han encontrado perfiles similares en LinkedIn y en YouTube.

Con ello, uno de los objetivos del robo de esta información es obtener los tokens de acceso para las cuentas de Facebook, especialmente para robar y suplantar aquellas que son comerciales, y así utilizar su base de clientela para propagar más aún el malware.

“Su capacidad para secuestrar cuentas comerciales de Facebook, especialmente aquellas con un alcance significativo, introduce otro nivel de enfoque en términos de encontrar formas de ampliar su alcance, pero también daña la integridad de las empresas afectadas, lo que podría resultar en una reputación empañada y daños financieros”, apostilló Trustwave al respecto.

Así, el malware también se centra en el robo de las cookies de Facebook en el dispositivo con las que extrae información personal del perfil, como el correo electrónico y la fecha de nacimiento. Igualmente, obtiene datos de las cuentas publicitarias, incluidos los métodos de pago, sus usuarios comerciales.

Según han indicado los investigadores, estos datos se almacenan de forma temporal en la carpeta %Temp%, antes de enviarse a los actores maliciosos, quienes posteriormente intentan filtrarlas y venderlas a otros ciberdelincuentes.

Los investigadores han advertido que “se podrían abrir las compuertas para una operación de ransomware o para que actores amenazantes de estados nacionales intenten causar interrupciones, daños o exfiltrar datos confidenciales”.

*Con información de Europa Press.