Investigadores de Trustwave han observado que cibercriminales promueven descargas gratuitas de juegos como Call of Duty: Modern Warfare III y cracks de activación de software, incluyendo Sora AI, Photoshop y Microsoft Office, entre otros.
Anuncios engañosos en Facebook
Los piratas informáticos están aprovechando el gran alcance de la conocida red social de Meta para infectar equipos con el malware SYS01, un software malicioso que puede robar las claves almacenadas en un navegador web. Estos anuncios, difundidos a través de nuevas páginas de empresa en Facebook o páginas secuestradas, engañan a los usuarios para que descarguen contenido malicioso. Los actores de amenaza renombran las páginas secuestradas para que coincidan con el tema del anuncio, lo que aumenta la credibilidad y el alcance de sus publicaciones fraudulentas.
Impacto del malware SYS01
El principal objetivo del malware SYS01 es robar datos sensibles, incluyendo cookies del navegador, credenciales guardadas, historial de navegación y carteras de criptomonedas.
Además, este malware incluye una tarea que utiliza las cookies de Facebook que se encuentran en el dispositivo para robar información de la cuenta del sitio de redes sociales:
- Extrae información del perfil personal, como el nombre, el email y la fecha de cumpleaños.
- Recaba datos detallados de cuentas publicitarias, incluidos gastos y métodos de pago.
- Datos que incluyen empresas, cuentas publicitarias y usuarios profesionales, agencias, lo que pone de manifiesto la profundidad del acceso a datos comerciales y financieros sensibles.
- Detalles relativos a las páginas de Facebook, incluido el recuento de seguidores y sus funciones.
Los datos robados se almacenan temporalmente en la carpeta %Temp% antes de ser enviados a los atacantes.
Estrategia de distribución del malware
Los anuncios publicitarios en Facebook promocionan temas falsos de Windows que infectan a los usuarios desprevenidos con el malware SYS01. Al hacer clic en los anuncios, los usuarios son redirigidos a páginas web alojadas en Google Sites o True Hosting, que se hacen pasar por páginas de descarga. Al intentar descargar los temas de Windows falsos, el usuario recibe un archivo ZIP que contiene el malware SYS01. Este malware, que fue descubierto por primera vez por Morphisec en 2022, utiliza una colección de ejecutables, DLL, scripts de PowerShell y PHP para instalarse y robar datos del ordenador infectado.
Conclusión
La campaña de malvertising SYS01 destaca la importancia de la vigilancia constante en la reputación de marca en las redes sociales. Las empresas y usuarios deben ser conscientes de las tácticas engañosas utilizadas por los actores de amenaza y mantener sus dispositivos protegidos con herramientas de seguridad actualizadas.
Más información:
- https://www.bleepingcomputer.com/news/security/facebook-ads-for-windows-themes-push-sys01-info-stealing-malware/
- https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/facebook-malvertising-epidemic-unraveling-a-persistent-threat-sys01/
- https://blog.morphisec.com/sys01stealer-facebook-info-stealer
Deja una respuesta