Investigadores de Trustwave han advertido sobre una nueva campaña de publicidad maliciosa en Facebook que utiliza como gancho anuncios para descargar temas de escritorio de Windows, así como juegos y software pirateados, que acaban implementando el malware SYS01 en el equipo con el objetivo de robar información y secuestrar cuentas de la red social.
El malware SYS01, que ya fue descubierto por la compañía de ciberseguridad Morphisec en noviembre de 2022, se utiliza habitualmente para robar información de cuentas comerciales de Facebook, ya que extrae datos del navegador como credenciales de inicio de sesión, datos del historial o cookies.
Así, tal y como se ha podido comprobar en otras ocasiones, este malware se basa, normalmente en archivos Zip maliciosos disfrazados con contenido para adultos. Sin embargo, en esta nueva campaña, los ciberdelincuentes han modificado su contenido para llamar la atención con anuncios que llegan a más usuarios de forma general, como son los de temas de escritorio de Windows o juegos.
La compañía de ciberseguridad Trustwave ha detallado en un comunicado en su web que el estudio en curso de su equipo de inteligencia de amenazas SpiderLabs, que sigue a una investigación previa sobre el malware ladrón Ov3r_Stealer, identifica cómo los actores de amenazas utilizan Facebook para desarrollar actividades maliciosas con una nueva versión del malware ladrón SYS01.
En concreto, tal y como explica el informe, la campaña de malware SYS01 ha estado en funcionamiento desde aproximadamente septiembre del pasado año y continúa activa. Su modus operandi consiste en promocionar anuncios falsos a través de páginas de Facebook, ya sea creadas especialmente para esta tarea o mediante el secuestro de páginas previamente existentes. En este último caso, los actores maliciosos cambian el nombre de la página para adaptarse al tema que vayan a anunciar.
Los anuncios falsos se utilizan como reclamo para engañar a los usuarios y conseguir que descarguen el malware. Para ello, promocionan asuntos de interés general, como son los temas escritorio para Windows y la descarga de juegos o software pirateados, como el programa de creación de vídeo Sora AI, o aplicaciones conocidas como Photoshop y Microsoft Office.
Una vez hace clic en el anuncio, el usuario llega a una página web alojada en Google Sites o True Hosting donde, supuestamente, debe descargar el contenido ofertado en el anuncio. Sin embargo, lo que descarga realmente es un archivo ZIP con el nombre del elemento del anuncio. Según ha ejemplificado Trustwave, los archivos suelen tener nombres como 'Awesome_Themes_for_Win_10_11.zip' para los temas de Windows, o 'Adobe_Photoshop_2023.zip' para las supuestas descargas de Photoshop.
Los archivos ZIP descargan el malware SYSO1, que utiliza ejecutables DLL, scripts de PowerSell y scripts PHP para instalar el malware y robar datos del ordenador donde se haya instalado. Concretamente, con el script de PowerShell se evita la detección del malware, ya que permite que se ejecute en un entorno virtualizado.
Siguiendo esta línea, el malware SYS01 utiliza los scripts PHP para crear tareas y robar datos del dispositivo, esto incluye las cookies, el historial y las credenciales guardadas en el navegador, incluso, billeteras de criptomonedas.
Los investigadores han desarrollado que, aunque no es la primera vez que se utilizan campañas publicitarias falsas para difundir malware, en este caso, se trata de una campaña peligrosa por el alcance que tiene al utilizar Facebook. Esto se debe a que, según han señalado desde Trustwave, la red social de Meta dispone de alrededor de 2.900 millones de usuarios activos mensuales y, además, 200 millones de cuentas comerciales. También se han encontrado perfiles similares en LinkedIn y en YouTube.
Con ello, uno de los objetivos del robo de esta información es obtener los tokens de acceso para las cuentas de Facebook, especialmente para robar y suplantar aquellas que son comerciales y así utilizar su base de clientela para propagar más aún el malware.
"Su capacidad para secuestrar cuentas comerciales de Facebook, especialmente aquellas con un alcance significativo, introduce otro nivel de enfoque en términos de encontrar formas de ampliar su alcance, pero también daña la integridad de las empresas afectadas, lo que podría resultar en una reputación empañada y daños financieros", ha apostillado Trustwave al respecto.
Así, el malware también se centra en el robo de las cookies de Facebook en el dispositivo con las que extrae información personal del perfil, como el correo electrónico y la fecha de nacimiento. Igualmente, también obtiene datos de las cuentas publicitarias, incluidos los métodos de pago y sus usuarios comerciales.
Según han indicado los investigadores, estos datos se almacenan de forma temporal en la carpeta '%Temp%', antes de enviarse a los actores maliciosos, quienes posteriormente intentan filtrarlas y venderlas a otros ciberdelincuentes.
Con todo ello, Trustwave ha subrayado que, debido a la combinación entre dispositivos personales y comerciales que facilita esta campaña, "cualquier credencial robada a través de Facebook podría usarse para obtener acceso inicial y establecer un punto de apoyo para ataques adicionales contra la red y los puntos finales de una víctima".
Los investigadores han advertido que "se podrían abrir las compuertas para una operación de ransomware, o para que actores amenazantes de estados nacionales intenten causar interrupciones, daños o exfiltrar datos confidenciales"