Investigadores del sitio especializado en ciberseguridad Trustwave advirtieron sobre una nueva campaña de publicidad maliciosa en Facebook. Esta utiliza anuncios que ofrecen temas de escritorio de Windows, juegos y software pirateado como gancho. Al hacer clic, los usuarios descargan el malware SYS01, diseñado para robar información y secuestrar cuentas de la red social.
El malware SYS01, identificado por primera vez en noviembre de 2022, se dirige principalmente a las cuentas comerciales de Facebook. Este software malicioso extrae datos del navegador, como credenciales de inicio de sesión, historial de navegación y cookies.
Los ciberdelincuentes adaptaron su estrategia, dejando de lado los archivos Zip maliciosos con contenido para adultos. Ahora utilizan anuncios de temas de escritorio de Windows y juegos para atraer a un público más amplio. Trustwave, en su estudio de inteligencia de amenazas SpiderLabs, detectó que esta campaña de SYS01 está activa desde setiembre del año pasado y sigue operativa. Los anuncios falsos se promocionan a través de páginas de Facebook, ya sea creadas específicamente o mediante el secuestro de páginas existentes.
Al hacer clic en los anuncios, los usuarios son dirigidos a páginas en Google Sites o True Hosting, donde supuestamente deben descargar el contenido ofertado. Sin embargo, lo que realmente obtienen es un archivo ZIP con nombres atractivos como ‘Awesome_Themes_for_Win_10_11.zip’ o ‘Adobe_Photoshop_2023.zip’, que contiene el malware SYS01.
LEA MÁS: Facebook es la red social número uno en Costa Rica, según estudio de UCR
Este malware utiliza ejecutables DLL, scripts de PowerShell y PHP para instalarse y robar datos del dispositivo. El script de PowerShell evita la detección, permitiendo que el malware se ejecute en un entorno virtualizado. Con los scripts PHP, el malware crea tareas y roba cookies, historial y credenciales guardadas en el navegador, incluyendo billeteras de criptomonedas.
Los investigadores destacan que aunque no es la primera vez que se utilizan campañas publicitarias falsas para difundir malware, el uso de Facebook amplía significativamente el alcance de esta amenaza. La red social de Meta tiene alrededor de 2.900 millones de usuarios activos mensuales y 200 millones de cuentas comerciales, lo que facilita la propagación del malware.
El objetivo del robo de información es obtener los tokens de acceso a cuentas comerciales de Facebook para suplantarlas y utilizar su base de clientes para difundir aún más el malware. “La capacidad de secuestrar cuentas comerciales de Facebook daña la integridad de las empresas afectadas y podría resultar en una reputación empañada y daños financieros”, advirtió Trustwave.
Además, el malware también roba las cookies de Facebook, extrayendo información personal como correos electrónicos, fechas de nacimiento y datos de cuentas publicitarias, incluidos métodos de pago. Estos datos se almacenan temporalmente en la carpeta ‘%Temp%’ antes de ser enviados a los ciberdelincuentes, quienes luego intentan filtrarlos y venderlos.
Trustwave subraya que la combinación de dispositivos personales y comerciales facilita esta campaña, permitiendo que cualquier credencial robada a través de Facebook se utilice para obtener acceso inicial y establecer un punto de apoyo para ataques adicionales contra la red y los dispositivos de una víctima. Los investigadores advierten que “se podrían abrir las compuertas para una operación de ransomware, o para que actores estatales intenten causar interrupciones, daños o exfiltrar datos confidenciales”.
LEA MÁS: El futuro de Facebook: ¿Será suficiente la renovación digital?
*La creación de este contenido contó con la asistencia de inteligencia artificial. La información fue proporcionada y revisada por un periodista para asegurar su precisión. El contenido no se generó automáticamente.