{"id":1419995,"date":"2024-10-30T21:21:13","date_gmt":"2024-10-30T21:21:13","guid":{"rendered":"https:\/\/teknomers.com\/es\/una-campana-de-publicidad-maliciosa-secuestra-cuentas-de-facebook-para-difundir-el-malware-sys01stealer\/"},"modified":"2024-10-30T21:21:18","modified_gmt":"2024-10-30T21:21:18","slug":"una-campana-de-publicidad-maliciosa-secuestra-cuentas-de-facebook-para-difundir-el-malware-sys01stealer","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/una-campana-de-publicidad-maliciosa-secuestra-cuentas-de-facebook-para-difundir-el-malware-sys01stealer\/","title":{"rendered":"Una campa\u00f1a de publicidad maliciosa secuestra cuentas de Facebook para difundir el malware SYS01stealer"},"content":{"rendered":"


\n<\/p>\n

\n
<\/a><\/div>\n

Investigadores de ciberseguridad han descubierto una campa\u00f1a de publicidad maliciosa en curso que abusa de la plataforma publicitaria de Meta y secuestra cuentas de Facebook para distribuir informaci\u00f3n conocida como SYS01stealer.<\/p>\n

“Los piratas inform\u00e1ticos detr\u00e1s de la campa\u00f1a utilizan marcas confiables para ampliar su alcance”, Bitdefender Labs dicho<\/a> en un informe compartido con The Hacker News.<\/p>\n

“La campa\u00f1a de publicidad maliciosa aprovecha casi cien dominios maliciosos, utilizados no s\u00f3lo para distribuir el malware sino tambi\u00e9n para operaciones de comando y control (C2) en vivo, lo que permite a los actores de amenazas gestionar el ataque en tiempo real”.<\/p>\n

SYS01stealer fue documentado por primera vez por Morphisec a principios de 2023, describiendo campa\u00f1as de ataque dirigidas a cuentas comerciales de Facebook utilizando anuncios de Google y perfiles falsos de Facebook que promocionan juegos, contenido para adultos y software descifrado.<\/p>\n

Al igual que otros programas maliciosos ladrones, el objetivo final es robar credenciales de inicio de sesi\u00f3n, historial de navegaci\u00f3n y cookies. Pero tambi\u00e9n se centra en obtener anuncios de Facebook y datos de cuentas comerciales, que luego se utilizan para propagar a\u00fan m\u00e1s el malware a trav\u00e9s de anuncios falsos.<\/p>\n

“Las cuentas de Facebook secuestradas sirven como base para ampliar toda la operaci\u00f3n”, se\u00f1al\u00f3 Bitdefender. “Cada cuenta comprometida se puede reutilizar para promover anuncios maliciosos adicionales, amplificando el alcance de la campa\u00f1a sin que los piratas inform\u00e1ticos tengan que crear nuevas cuentas de Facebook”.<\/p>\n

\"Ciberseguridad\"<\/a><\/center><\/div>\n

El vector principal a trav\u00e9s del cual se distribuye SYS01stealer es a trav\u00e9s de publicidad maliciosa en plataformas como Facebook, YouTube y LinkedIn, con anuncios que promocionan temas de Windows, juegos, software de inteligencia artificial, editores de fotograf\u00edas, VPN y servicios de transmisi\u00f3n de pel\u00edculas. La mayor\u00eda de los anuncios de Facebook est\u00e1n dise\u00f1ados para hombres de 45 a\u00f1os o m\u00e1s.<\/p>\n

“Esto efectivamente atrae a las v\u00edctimas a hacer clic en estos anuncios y a que les roben los datos del navegador”, dijo Trustwave en un an\u00e1lisis del malware en julio de 2024.<\/p>\n

“Si hay informaci\u00f3n relacionada con Facebook en los datos, existe la posibilidad no s\u00f3lo de que les roben los datos del navegador, sino tambi\u00e9n de que los actores de amenazas controlen sus cuentas de Facebook para difundir a\u00fan m\u00e1s la publicidad maliciosa y continuar el ciclo”.<\/p>\n

Los usuarios que terminan interactuando con los anuncios son redirigidos a sitios enga\u00f1osos alojados en Google Sites o True Hosting que se hacen pasar por marcas y aplicaciones leg\u00edtimas en un intento de iniciar la infecci\u00f3n. Tambi\u00e9n se sabe que los ataques utilizan cuentas de Facebook secuestradas para publicar anuncios fraudulentos.<\/p>\n

\"Malware<\/a><\/div>\n

La carga \u00fatil de la primera etapa descargada de estos sitios es un archivo ZIP que incluye un ejecutable benigno, que se utiliza para descargar una DLL maliciosa responsable de decodificar e iniciar el proceso de varias etapas.<\/p>\n

Esto incluye ejecutar comandos de PowerShell para evitar que el malware se ejecute en un entorno aislado, modificar la configuraci\u00f3n de Microsoft Defender Antivirus para excluir ciertas rutas y evitar la detecci\u00f3n y configurar un entorno operativo para ejecutar el ladr\u00f3n basado en PHP.<\/p>\n

En las \u00faltimas cadenas de ataques observadas por la empresa rumana de ciberseguridad, los archivos ZIP vienen integrados con una aplicaci\u00f3n Electron, lo que sugiere que los actores de la amenaza est\u00e1n evolucionando continuamente sus estrategias.<\/p>\n

\"Malware<\/a><\/div>\n

Tambi\u00e9n est\u00e1 presente en Atom Shell Archive (ASAR) un archivo JavaScript (“main.js”) que ahora ejecuta los comandos de PowerShell para realizar comprobaciones de la zona de pruebas y ejecutar el ladr\u00f3n. La persistencia en el host se logra mediante la configuraci\u00f3n de tareas programadas.<\/p>\n

“La adaptabilidad de los ciberdelincuentes detr\u00e1s de estos ataques hace que la campa\u00f1a de robo de informaci\u00f3n SYS01 sea especialmente peligrosa”, afirm\u00f3 Bitdefender. “El malware emplea detecci\u00f3n de espacio aislado, deteniendo sus operaciones si detecta que se est\u00e1 ejecutando en un entorno controlado, a menudo utilizado por los analistas para examinar el malware. Esto le permite pasar desapercibido en muchos casos”.<\/p>\n

“Cuando las empresas de ciberseguridad comienzan a marcar y bloquear una versi\u00f3n espec\u00edfica del cargador, los piratas inform\u00e1ticos responden r\u00e1pidamente actualizando el c\u00f3digo. Luego publican nuevos anuncios con malware actualizado que evade las \u00faltimas medidas de seguridad”.<\/p>\n

Abuso de campa\u00f1as de phishing Eventbrite<\/h2>\n

El desarrollo se produce cuando Perception Point detall\u00f3 campa\u00f1as de phishing que hacen un uso indebido de los eventos y la plataforma de venta de entradas de Eventbrite para robar informaci\u00f3n financiera o personal.<\/p>\n

Los correos electr\u00f3nicos, entregados a trav\u00e9s de noreply@events.eventbrite[.]com, solicita a los usuarios que hagan clic en un enlace para pagar una factura pendiente o confirmar la direcci\u00f3n de entrega de su paquete, despu\u00e9s de lo cual se les pide que ingresen sus datos de inicio de sesi\u00f3n y de tarjeta de cr\u00e9dito.<\/p>\n

El ataque en s\u00ed es posible gracias al hecho de que los actores de la amenaza se registran para obtener cuentas leg\u00edtimas en el servicio y crean eventos falsos abusando de la reputaci\u00f3n de una marca conocida, incorporando el enlace de phishing en la descripci\u00f3n o el archivo adjunto del evento. Luego, la invitaci\u00f3n al evento se env\u00eda a sus objetivos.<\/p>\n

“Debido a que el correo electr\u00f3nico se env\u00eda a trav\u00e9s del dominio verificado y la direcci\u00f3n IP de Eventbrite, es m\u00e1s probable que pase los filtros de correo electr\u00f3nico y llegue exitosamente a la bandeja de entrada del destinatario”, Perception Point dicho<\/a>.<\/p>\n

“El dominio del remitente de Eventbrite tambi\u00e9n aumenta la probabilidad de que los destinatarios abran el correo electr\u00f3nico y hagan clic en el enlace de phishing. Este abuso de la plataforma de Eventbrite permite a los atacantes evadir la detecci\u00f3n, lo que garantiza mayores tasas de entrega y apertura”.<\/p>\n

La matanza de cerdos de otro tipo<\/h2>\n

Los cazadores de amenazas tambi\u00e9n llamando la atenci\u00f3n<\/a> a un aumento en el fraude con criptomonedas que se hace pasar por varias organizaciones para dirigirse a los usuarios con falsos se\u00f1uelos laborales que supuestamente les permiten ganar dinero mientras trabajan desde casa. Los mensajes no solicitados tambi\u00e9n afirman representar marcas leg\u00edtimas como Spotify, TikTok y Temu.<\/p>\n

\"Ciberseguridad\"<\/a><\/center><\/div>\n

La actividad comienza a trav\u00e9s de redes sociales, SMS y aplicaciones de mensajer\u00eda como WhatsApp y Telegram. Los estafadores instruyen a los usuarios que aceptan aceptar los trabajos para que se registren en un sitio web malicioso utilizando un c\u00f3digo de referencia, tras lo cual se les pide que completen diversas tareas: enviar rese\u00f1as falsas, realizar pedidos de productos, reproducir canciones espec\u00edficas en Spotify o reservar. hoteles.<\/p>\n

La estafa se desarrolla cuando el saldo de la cuenta de comisiones falsas de las v\u00edctimas de repente pasa a ser negativo y se les insta a recargar invirtiendo su propia criptomoneda para ganar bonificaciones por las tareas.<\/p>\n

“Este c\u00edrculo vicioso continuar\u00e1 mientras los estafadores piensen que la v\u00edctima seguir\u00e1 pagando al sistema”, dijeron los investigadores de Proofpoint. “Si sospechan que su v\u00edctima se ha dado cuenta de la estafa, bloquear\u00e1n su cuenta y la enga\u00f1ar\u00e1n”.<\/p>\n

El plan il\u00edcito se ha atribuido con gran confianza a actores de amenazas que tambi\u00e9n llevan a cabo la matanza de cerdos, lo que tambi\u00e9n se conoce como fraude de inversi\u00f3n en criptomonedas basado en romances.<\/p>\n

“El fraude laboral tiene beneficios menores pero m\u00e1s frecuentes para los defraudadores en comparaci\u00f3n con la matanza de cerdos”, afirm\u00f3 Proofpoint. “La actividad aprovecha el reconocimiento de marca popular en lugar de una larga estafa de confianza basada en el romance”.<\/p>\n

<\/p>\n

\u00bfEncontr\u00f3 interesante este art\u00edculo? S\u00edguenos en Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n