Meta dijo que tomó medidas para eliminar más de 1,000 URL maliciosas que se compartían en sus servicios y que se descubrió que aprovechaban ChatGPT de OpenAI como un señuelo para propagar alrededor de 10 familias de malware desde marzo de 2023.
El desarrollo se produce en el contexto de las extensiones falsas del navegador web ChatGPT que se utilizan cada vez más para robar las credenciales de la cuenta de Facebook de los usuarios con el objetivo de ejecutar anuncios no autorizados de cuentas comerciales secuestradas.
«Los actores de amenazas crean extensiones de navegador maliciosas disponibles en las tiendas web oficiales que afirman ofrecer herramientas basadas en ChatGPT», Meta dicho. «Luego promocionarían estas extensiones maliciosas en las redes sociales y a través de resultados de búsqueda patrocinados para engañar a las personas para que descarguen malware».
El gigante de las redes sociales dijo que ha bloqueado varias iteraciones de una campaña de malware de múltiples frentes denominada Ducktail a lo largo de los años, y agregó que emitió una carta de cese y desistimiento a las personas detrás de la operación que se encuentran en Vietnam.
Trend Micro, en un serie de tuits la semana pasada, detalló un ladrón de información que está disfrazado como un cliente de escritorio de Windows para ChatGPT para extraer contraseñas, cookies de sesión e historial de navegadores con tecnología Chromium. La compañía dijo que el malware comparte similitudes con Ducktail.
Además de ChatGPT, también se ha observado que los actores de amenazas cambian a otros «temas candentes y temas populares» como Google Bard, herramientas de marketing de TikTok, software y películas pirateados y utilidades de Windows para engañar a las personas para que hagan clic en enlaces falsos.
«Es probable que estos cambios sean un intento de los actores de amenazas de garantizar que cualquier servicio solo tenga una visibilidad limitada de toda la operación», dijo Guy Rosen, director de seguridad de la información de Meta. dicho.
Las cadenas de ataque están diseñadas principalmente para apuntar a las cuentas personales de los usuarios que administran o están conectados a páginas comerciales y cuentas publicitarias en Facebook.
Además de usar las redes sociales para propagar las URL maliciosas con el tema de ChatGPT, el malware está alojado en una variedad de servicios legítimos como Buy Me a Coffee, Discord, Dropbox, Google Drive, iCloud, MediaFire, Mega, Microsoft OneDrive y Trello.
Ducktail no es el único malware ladrón detectado en la naturaleza, ya que Meta reveló que descubrió otra cepa novedosa denominada NodeStealer que es capaz de saquear cookies y contraseñas de los navegadores web para finalmente comprometer las cuentas de Facebook, Gmail y Outlook.
Se evalúa que el malware es de origen vietnamita, y Meta señala que «tomó medidas para interrumpirlo y ayudar a las personas que pueden haber sido atacadas a recuperar sus cuentas» dentro de las dos semanas posteriores a su implementación a fines de enero de 2023.
Aprenda a detener el ransomware con protección en tiempo real
Únase a nuestro seminario web y aprenda cómo detener los ataques de ransomware en seco con MFA en tiempo real y protección de cuenta de servicio.
Las muestras analizadas por la empresa muestran que el binario NodeStealer se distribuye a través de ejecutables de Windows disfrazados de archivos PDF y XLSX con nombres de archivo relacionados con marketing y presupuestos mensuales. Los archivos, cuando se abren, entregan un código JavaScript que está diseñado para filtrar datos confidenciales de los navegadores basados en Chromium.
NodeStealer recibe su nombre del uso del entorno de tiempo de ejecución de JavaScript multiplataforma de Node.js, que se incluye junto con la carga útil principal, para configurar la persistencia y ejecutar el malware. No se han identificado nuevos artefactos hasta el 27 de febrero de 2023.
«Después de recuperar las credenciales de Facebook de los datos del navegador del objetivo, el malware las usa para realizar varias solicitudes no autorizadas a las URL de Facebook para enumerar la información de la cuenta relacionada con la publicidad», dijo Meta. «La información robada luego permite que el actor de amenazas evalúe y luego use las cuentas de publicidad de los usuarios para ejecutar anuncios no autorizados».
En un intento de pasar desapercibido para los sistemas anti-abuso de la empresa, las solicitudes deshonestas se realizan desde el dispositivo del usuario objetivo a las API de Facebook, lo que otorga una apariencia de legitimidad a la actividad.
Para contrarrestar tales amenazas, Meta dijo que es lanzamiento una nueva herramienta de soporte que guía a los usuarios para identificar y eliminar malware, permite a las empresas verificar las cuentas de Business Manager conectadas y requiere autenticación adicional al acceder a una línea de crédito o cambiar de administrador comercial.