Las plataformas de redes sociales ofrecen inmensas oportunidades para que los actores de amenazas con motivación financiera realicen ataques a gran escala contra usuarios desprevenidos de Internet. Las amenazas fraudulentas y maliciosas prevalecen en todas las redes sociales y se ha vuelto crucial para los usuarios conocer los últimos trucos que pueden comprometer la seguridad de sus cuentas, datos y, reputación y finanzas.
Los ciberdelincuentes siempre buscan engañar a los usuarios para que tomen todo tipo de acciones no deseadas, y una forma de lograrlo es mediante abusar de la red publicitaria.
Bitdefender Labs ha estado monitoreando la creciente tendencia entre los ciberdelincuentes que explotan activamente las redes sociales para la publicidad maliciosa. El objetivo final de estos ataques es secuestrar cuentas y robar datos personales a través de software malicioso.
Las campañas de publicidad maliciosa aprovechan las herramientas y los métodos utilizados por las entidades legítimas para distribuir anuncios en línea regulares, con los ciberdelincuentes que envían enlaces infectados a redes publicitarias típicas a través de algún tipo de incentivo provocativo destinado a influir en los usuarios para que hagan clic en un enlace infectado.
Este artículo se centra en cómo los ciberdelincuentes han adaptado los ataques de NodeStealer para abusar de la red de anuncios de Metaya en Facebook y comprometer la privacidad y seguridad de los usuarios.
Aquí hay un resumen de nuestro análisis realizado Oct. 10-20:
- • Los investigadores descubrieron múltiples cuentas de Facebook secuestradas utilizadas en los ataques – al menos 10 cuentas comerciales comprometidas que continúan publicando anuncios maliciosos al público
- • Los anuncios sirven una versión más nueva de NodeStealer
- • Los actores de amenazas crearon múltiples perfiles de Facebook, todos los cuales cuelgan acceso a nuevos archivos multimedia de las mujeres retratadas
- • Se utilizaron múltiples iteraciones del mismo anuncio en aproximadamente 140 campañas publicitarias maliciosas
- • Los atacantes usaron un máximo de 5 anuncios activos a la vez y cambiaron entre ellos a intervalos de 24 horas para tratar de evitar los informes publicitarios de los usuarios
- • Los anuncios usaban fotos reveladoras de mujeres jóvenes para atraer a las víctimas a desplegar la carga útil
- • Al hacer clic en los anuncios, descarga inmediatamente un archivo que contiene un archivo .exe “Photo Album” malicioso que también deja caer un segundo ejecutable escrito en .NET – esta carga útil se encarga de robar las cookies y contraseñas del navegador
- • Dado que cada clic del anuncio descarga instantáneamente el archivo malicioso, weizve estimó 100,000 descargas potenciales del análisis de alcance del anuncio, con un solo anuncio que tiene hasta 15,000 descargas en solo un lanzamiento de 24 horas
- • El grupo demográfico más afectado es 45+ Hombres
La información anterior sobre la demografía y el alcance de la campaña se ha recopilado mediante el seguimiento de los anuncios en Meta Ad Library.
Antes de profundizar en los detalles de la campaña NodeStealer recién descubierta que está causando estragos en Facebook, permítanos recapitular las particularidades de este software malicioso.
NodeStealer es un robo de información relativamente nuevo, descubierto por el equipo de seguridad de Metaaks en enero de 2023, que permite a los actores de amenazas robar cookies del navegador y realizar adquisiciones de cuentas a escala.
La primera campaña de NodeStealer ( documentada por Meta ) fue atribuida a actores de amenazas en Vietnam, quien creó a medida la herramienta maliciosa ( escrita en JavaScript y ejecutada a través de Node.js ) para dirigirse a los usuarios comerciales a través de comunicaciones falsas a través de Facebook Messenger. El malware permitió a los atacantes tomar el control de las cuentas comerciales, sin la necesidad de nuevas interacciones con la víctima, e incluso omitió los mecanismos de seguridad, como la autenticación de dos factores.
Aunque el ladrón fue diseñado principalmente para secuestrar sesiones de cookies de navegadores web, incluidos Google Chrome, Microsoft Edge, Brave y Opera, y hacerse cargo de las cuentas de Facebook, Los actores de amenazas han trabajado diligentemente para equipar el malware con nuevas capacidades durante el año.
El malware NodeStealer descubierto por nuestros investigadores (las letras lo llaman 2.1) es la versión modernizada del robo de información (escrita en Node), a lo que los ciberdelincuentes han añadido nuevas características que les permiten obtener la entrada ilegal en plataformas adicionales (Gmail y Outlook), para robar saldos de billetera criptográfica y descargar cargas útiles maliciosas adicionales – componentes que podrían tener consecuencias financieras y de reputación devastadoras para las víctimas.
El malware se distribuye a través de archivos ejecutables de Windows disfrazados de álbumes de fotos.
La saga de ataque NodeStealer continúa plagando a Facebook, esta vez con un giro
Investigadores de Bitdefender Labs han observado una nueva versión de los ataques de NodeStealer implementados en Facebook, con actores de amenazas que utilizan cuentas comerciales comprometidas para entregar campañas publicitarias maliciosas a usuarios de Internet incautos.
Modus Operandi:
Según los investigadores de Bitdefender, los actores de amenazas ya no están interesados solo en secuestrar cuentas comerciales de Facebook, sino que han ampliado sus ataques para atacar a los usuarios habituales de Facebook mediante el uso de métodos distintivos.
Para obtener acceso a los usuarios’ cuentas y sistemas, los ciberdelincuentes abusan saldos de crédito de anuncios de cuentas comerciales comprometidas para ejecutar y administrar anuncios que entregan la carga útil maliciosa a su público objetivo seleccionado.
Crean una página de Facebook bajo el nombre “Album Update” (o similar) donde agregan fotos reveladoras de mujeres jóvenes (1 o 2 fotos).
Otros nombres de perfiles falsos incluyen:
- • Álbum Girl News Update
- • Actualización de Álbum Privado
- • Actualización de Álbum Caliente Hoy
- • Álbum Nueva Actualización Hoy
- • Álbum Private Update Today
Después de configurar la página, los actores maliciosos comienzan a publicar anuncios que promueven contenido nuevo falso y atraen a los usuarios con portadas de álbumes lascivos. Algunas de las fotos anunciadas parecen haber sido editadas o incluso generadas por IA.
Los atacantes también usan descripciones cortas para atraer a los usuarios a descargar el archivo multimedia, como “New stuff está en línea hoy” y “Watch ahora antes de que se elimine.”
Los “Albums,” de hecho, apuntan a repositorios Bitbucket o Gitlab que almacenan un archivo que contiene un ejecutable de Windows que implementa versiones más nuevas de NodeStealer en el dispositivo users’.
NodeStealer ataca a través de anuncios maliciosos de Facebook de un vistazo
La herramienta Metaades Ads Manager se explota activamente en estas campañas para dirigirse a usuarios masculinos en Facebook, de 18 a 65 años de Europa, África y el Caribe.
Otras variaciones de los anuncios y perfiles falsos
Los indicadores de compromiso actualmente conocidos se pueden encontrar en los horarios a continuación:
SHA256
2b94a313e55e7332b7bd5fbc74aa84f614e77d4a4b9e26645affd97b130fe358
f267da7be0c3fbfe85b4b0117c44cf22ee13150befd58b057c805238ef890ea6
ab5972fad0e7b0ed8dab81b7e6e6dcab09742f4e3cee820bfc3a384defbe9706
720e68f79fed6511621e2c187b27610db18035b491f7fc8d2e051a9d650ebdc8
f4216674115ad9168b14e3350666b6bf3ce9cf984d9f9abc7abb08acf25e04e3
92a6d72a1673e9c159488aad09db22d5f438b2d03492832ae0ea3e8fb4a60ec4
80fd31d97c9dd89c476dbae585cf8a75e6c08170c61b4ce4dfb31bf9bc025e13
Malicioso C&C
hxxp://34.82.20.84:3000/v1/botlog/key
Repositorios maliciosos
Bitbucket: https://bitbucket.org/lxsoft/store/src/master/
Gitlab: hxxps://gitlab[.]com/rftsoft/ase
Dropbox: hxxps://dl.dropbox[.]com/scl/fi/mioy6rz517smvxsyi32wn/
Bitdefender detecta todos los archivos maliciosos como Gen:Variant.FacebookAd
¿Cuáles son los riesgos de consumers’ y cómo puede defenderse contra los ataques publicitarios de NodeStealer?
Una vez que los ciberdelincuentes obtienen acceso a las cookies de users’ utilizando las características básicas de NodeStealer, se hacen cargo de las cuentas de Facebook y acceden a información confidencial.
A partir de ahí, los piratas informáticos pueden intentar cambiar las contraseñas y agregar medidas de seguridad adicionales a las cuentas para cortar por completo el acceso del propietario legítimo y cometer una variedad de delitos de fraude. Ya sea robando dinero o estafando a nuevas víctimas a través de cuentas secuestradas, este tipo de ataque malicioso permite a los ciberdelincuentes permanecer bajo el radar al pasar a escondidas las defensas de seguridad de Metaa.
La primera línea de defensa contra el malware Nodestealer, entregado a través de enlaces de phishing, archivos adjuntos o anuncios) es utilizar siempre una solución de seguridad en su dispositivo y mantenerlo actualizado. El software antimalware y antivirus lo mantiene a usted y a sus dispositivos a salvo de amenazas nuevas y existentes al detectar malware y eliminarlo o evitar que cause daños de manera segura. Además, los usuarios de Internet siempre deben mantenerse atentos y apegarse a una buena higiene cibernética en todas las interacciones en línea. Siempre es mejor pensarlo dos veces antes de hacer clic en enlaces no solicitados asociados con avisos o anuncios alarmantes que le pidan que descargue archivos multimedia provocativos.
Específicamente para esta campaña, los usuarios de Facebook deben mantenerse alejados de los anuncios que sugieren que descargue álbumes de fotos de Bitbucket, Gitlab o Dropbox.
Indicadores de Compromiso
Una lista actualizada y completa de indicadores de compromiso está disponible para Bitdefender Inteligencia Avanzada de Amenazas usuarios.