Se ha atribuido a un actor de amenazas vietnamita que está detrás de una campaña de «publicación maliciosa» en las plataformas de redes sociales para infectar más de 500,000 dispositivos en todo el mundo durante los últimos tres meses para entregar variantes de ladrones de información como S1deload Stealer y SYS01stealer.
Malverposting se refiere al uso de publicaciones de redes sociales promocionadas en servicios como Facebook y Twitter para propagar masivamente software malicioso y otras amenazas de seguridad. La idea es llegar a un público más amplio mediante el pago de anuncios para «amplificar» sus publicaciones.
De acuerdo a Laboratorios Guardiotales ataques comienzan cuando el adversario crea nuevos perfiles comerciales y secuestra cuentas ya populares para publicar anuncios que pretenden ofrecer descargas gratuitas de álbumes de fotos clasificados para adultos.
Dentro de estos archivos ZIP hay supuestas imágenes que en realidad son archivos ejecutables que, al hacer clic, activan la cadena de infección y, en última instancia, implementan el malware ladrón para desviar cookies de sesión, datos de cuentas y otra información.
La cadena de ataque es muy eficaz, ya que crea un «círculo vicioso» en el que la información saqueada por el ladrón se utiliza para crear un ejército en constante expansión de cuentas de bots de Facebook secuestradas que luego se utilizan para impulsar más publicaciones patrocinadas, escalando aún más el esquema. .
Para pasar desapercibido en Facebook, se descubrió que el actor de amenazas hace pasar las páginas de perfil comercial recién generadas como cuentas de fotógrafos. La mayoría de las infecciones se informaron en Australia, Canadá, India, el Reino Unido y los EE. UU.
Se dice que el método a través del cual se implementa el ladrón basado en PHP está en constante evolución para incorporar más funciones de evasión de detección, lo que sugiere que el actor de amenazas detrás de la campaña está refinando y reestructurando activamente sus tácticas en respuesta a las divulgaciones públicas.
«La carga maliciosa es bastante sofisticada y varía todo el tiempo, introduciendo nuevas técnicas evasivas», dijo Nati Tal, investigadora de seguridad de Guardio Labs.
Aprenda a detener el ransomware con protección en tiempo real
Únase a nuestro seminario web y aprenda cómo detener los ataques de ransomware en seco con MFA en tiempo real y protección de cuenta de servicio.
Los hallazgos vienen como Group-IB reveló detalles de una operación de phishing en curso que está dirigida a los usuarios de Facebook engañándolos para que ingresen sus credenciales en sitios falsos diseñados para robar las credenciales de sus cuentas y apoderarse de los perfiles.
En un desarrollo relacionado, Malwarebytes desenterrado una campaña de publicidad maliciosa que se ha descubierto que engaña a los usuarios que buscan juegos y recetas de comida en Google para publicar anuncios maliciosos que los redirigen a sitios web falsos creados en Weebly con el objetivo de realizar una estafa de soporte técnico.