Se están utilizando cuentas comerciales de Facebook comprometidas para publicar anuncios falsos que emplean «fotos reveladoras de mujeres jóvenes» como señuelo para engañar a las víctimas para que descarguen una versión actualizada de un malware llamado Ladrón de nodos.
«Al hacer clic en los anuncios, se descarga inmediatamente un archivo que contiene un archivo ‘Álbum de fotos’ .exe malicioso que también arroja un segundo ejecutable escrito en .NET; esta carga útil se encarga de robar cookies y contraseñas del navegador», Bitdefender dicho en un informe publicado esta semana.
Meta reveló por primera vez NodeStealer en mayo de 2023 como un malware de JavaScript diseñado para facilitar la adquisición de cuentas de Facebook. Desde entonces, los actores de amenazas detrás de la operación han aprovechado una variante basada en Python en sus ataques.
El malware es parte de un floreciente ecosistema de cibercrimen en Vietnam, donde múltiples actores de amenazas están aprovechando métodos superpuestos que involucran principalmente publicidad como vector en Facebook para su propagación.
La última campaña descubierta por la empresa rumana de ciberseguridad no es diferente en el sentido de que se utilizan anuncios maliciosos como conducto para comprometer las cuentas de Facebook de los usuarios.
«La herramienta Ads Manager de Meta se explota activamente en estas campañas para dirigirse a usuarios masculinos en Facebook, de entre 18 y 65 años de Europa, África y el Caribe», dijo Bitdefender. «El grupo demográfico más afectado es el de los hombres mayores de 45 años».
Además de distribuir el malware a través de archivos ejecutables de Windows disfrazados de álbumes de fotos, los ataques han ampliado su alcance para incluir a los usuarios habituales de Facebook. Los ejecutables están alojados en legítimo.
El objetivo final de los ataques es aprovechar las cookies robadas para eludir mecanismos de seguridad como la autenticación de dos factores y cambiar las contraseñas, bloqueando efectivamente a las víctimas fuera de sus propias cuentas.
«Ya sea robando dinero o estafando a nuevas víctimas a través de cuentas secuestradas, este tipo de ataque malicioso permite a los ciberdelincuentes pasar desapercibidos al burlar las defensas de seguridad de Meta», dijeron los investigadores.
A principios de agosto, HUMAN reveló otro tipo de ataque de apropiación de cuentas denominado Capra dirigido a plataformas de apuestas mediante el uso de direcciones de correo electrónico robadas para determinar las direcciones registradas e iniciar sesión en las cuentas.
El desarrollo se produce cuando Cisco Talos detalló varias estafas dirigidas a los usuarios de la plataforma de juegos Roblox con enlaces de phishing que tienen como objetivo capturar las credenciales de las víctimas y robarlas. Robuxuna moneda dentro de la aplicación que se puede usar para comprar mejoras para sus avatares o comprar habilidades especiales en experiencias.
«Los usuarios de ‘Roblox’ pueden ser blanco de estafadores (conocidos como ‘beamers’ por los jugadores de ‘Roblox’) que intentan robar objetos valiosos o Robux de otros jugadores», dijo el investigador de seguridad Tiago Pereira. dicho.
«A veces, esto puede resultar más fácil para los estafadores debido a la base de usuarios jóvenes de «Roblox». Casi la mitad de los 65 millones de usuarios del juego tienen menos de 13 años y pueden no ser tan expertos en detectar estafas».
También sigue la estrategia de CloudSEK. descubrimiento de una campaña de recolección de datos de dos años de duración que tuvo lugar en el Medio Oriente a través de una red de alrededor de 3.500 dominios falsos relacionados con propiedades inmobiliarias en la región con el objetivo de recopilar información sobre compradores y vendedores, y vender los datos en foros clandestinos.