La compañía de ciberseguridad Bitdefender ha publicado una nueva investigación sobre una campaña global de publicidad maliciosa que aprovecha los anuncios de Meta para distribuir el malware SYS01, dirigido al robo de datos. La campaña se centra en páginas comerciales de Meta para recopilar credenciales de usuarios de Facebook y secuestrar sus cuentas.
Esta campaña comenzó al menos hace un mes y aún se mantiene activa. Su propósito consiste en robar datos y secuestrar cuentas de hombres mayores de 45 años que residen en Europa, América del Norte, Australia y Asia, por lo que el alcance potencial de víctimas es de varios millones. El infostealer SYS01 se entrega usando una aplicación Electron JavaScript que imita aplicaciones de marcas conocidas, como Adobe, Office365, Netflix y videojuegos populares, entre otras.
Principales conclusiones de la investigación
Ataque en curso. La campaña de publicidad maliciosa que está provocando estragos en las plataformas de Meta desde hace al menos un mes está en continua evolución, con nuevos anuncios que aparecen a diario. El malware SYS01 InfoStealer se ha convertido en un arma central en esta campaña, que se dirige eficazmente a las víctimas en múltiples plataformas.
Entrega de ElectronJs y suplantación ampliada. En comparación con las campañas anteriores de publicidad maliciosa, el malware SYS01 ahora se entrega mediante una aplicación de ElectronJs. Para maximizar el alcance, los actores de amenazas han empezado a simular que pertenecen a una amplia gama de herramientas de software conocidas, lo que aumenta la probabilidad de dirigirse a una base de usuarios mayor.
Uso extensivo de dominios maliciosos. La campaña de publicidad maliciosa aprovecha casi un centenar de dominios maliciosos, utilizados no solo para distribuir el malware, sino también para operaciones de mando y control (C2) en directo, lo que facilita a los actores de la amenaza la gestión del ataque en tiempo real.
Suplantación masiva de marcas. Los hackers utilizan marcas de confianza que el alcance sea más extenso. Los investigadores de Bitdefender Labs observaron cientos de anuncios que suplantan a populares programas de edición de video como CapCut, herramientas de productividad como Office 365, servicios de streaming de vídeo como Netflix e incluso videojuegos para atraer a los usuarios. La suplantación generalizada aumenta la probabilidad de atraer a un público amplio, lo que hace que la campaña sea muy eficaz.
Tácticas de evasión dinámicas. Los actores de amenazas evolucionan continuamente sus estrategias, con la adopción de cargas maliciosas casi en tiempo real para evitar la detección. Una vez que las compañías de antivirus detectan y bloquean una versión del dropper de malware, los hackers perfeccionan los métodos y vuelven a lanzar nuevos anuncios con versiones actualizadas.
Originalidad de la campaña
Aunque el malware distribuido a través de anuncios en redes sociales no es una innovación en el ciberespacio criminal, esta campaña se caracteriza por las muestras maliciosas que se distribuyeron y por el enfoque genérico de suplantación de identidad utilizado por los ciberdelincuentes. En cuanto a la suplantación de videojuegos, se utilizó una promoción de anuncios de Super Mario Bros Wonder.
Se reutilizaron también dominios maliciosos, que se hacían pasar por una plataforma genérica de descarga de videojuegos (con títulos conocidos o éxitos recientes como Black Myth: Wukong).
Tácticas de distribución
Los anuncios suelen apuntar a un enlace de MediaFire o se refieren a uno que permite la descarga directa de software malicioso. Las muestras se obtienen en forma de un archivo .zip que contiene una aplicación Electron. El código Javascript incrustado en la aplicación Electron termina descartando y ejecutando software malicioso.
En muchos casos, el malware se ejecuta en segundo plano mientras una aplicación señuelo, que a menudo emula el software promocionado con publicidad, parece funcionar normalmente, lo que complica que la víctima se percate de que ha sido comprometida.