¿Sabías que una simple cookie de tu navegador puede ser la llave para que los ciberdelincuentes tomen el control de tu cuenta de Facebook y se apropien de tu presupuesto publicitario? Expertos en ciberseguridad han identificado una versión actualizada del malware NodeStealer, ahora escrito en Python, que amplía su capacidad de robo. Este nuevo desarrollo no solo apunta a las cuentas de Facebook Ads Manager, sino que también extrae información sensible, como datos de tarjetas de crédito almacenados en los navegadores web de las víctimas.
Según los investigadores, el malware recopila detalles financieros y presupuestarios de las cuentas publicitarias, lo que facilita a los atacantes llevar a cabo campañas fraudulentas y otras actividades maliciosas. Esta evolución convierte a NodeStealer en una amenaza aún más peligrosa para anunciantes y empresas que dependen de plataformas como Facebook para sus operaciones comerciales.
NodeStealer ha comenzado a dar pasos más agresivos con nuevas tácticas para lograr su objetivo: secuestrar cuentas de anuncios en Facebook. Ahora utiliza el Administrador de reinicio de Windows para desbloquear archivos de base de datos de los navegadores, le añade código basura para camuflarse mejor y ejecuta scripts de Python de manera dinámica usando un simple archivo por lotes. Todo esto lo hace más efectivo y difícil de detectar.
Este malware fue descubierto por primera vez en mayo de 2023 por Meta. En sus inicios, era una amenaza basada en JavaScript, pero rápidamente evolucionó a un ladrón mucho más avanzado programado en Python, diseñado específicamente para robar datos de cuentas de Facebook y facilitar su secuestro.
Se cree que NodeStealer fue desarrollado por ciberdelincuentes de origen vietnamita, conocidos por usar distintos tipos de malware para atacar cuentas comerciales y de publicidad en Facebook, convirtiéndolas en herramientas para actividades fraudulentas.
El último informe de Netskope revela que NodeStealer ha puesto su mira no solo en cuentas comerciales de Facebook, sino también en aquellas asociadas con el Administrador de Anuncios de Facebook e Instagram, que son usadas para gestionar campañas publicitarias. Esto hace que las empresas y anunciantes se encuentren en un riesgo mayor que nunca.
Parece que los atacantes detrás de NodeStealer no solo buscan secuestrar cuentas de Facebook, sino que también planean usarlas para lanzar campañas publicitarias maliciosas. Estas campañas podrían promover software falso o juegos populares, que en realidad propagan aún más el malware.
"Recientemente hemos encontrado varias versiones de NodeStealer en Python que extraen información sobre el presupuesto de las cuentas usando la API Graph de Facebook", comentó Michael Alcantara, investigador de Netskope. "El malware genera un token de acceso al iniciar sesión en adsmanager.facebook[.]com, utilizando las cookies robadas de la máquina de la víctima".
Además de robar tokens e información comercial de las cuentas afectadas, NodeStealer incluye un curioso mecanismo de verificación: evita infectar equipos ubicados en Vietnam. Esto parece ser una estrategia para esquivar a las autoridades locales, lo que refuerza la teoría de que sus creadores son de origen vietnamita.
Podrá interesarte leer: Las 25 Debilidades de Software más Peligrosas de 2024 según MITRE
Además, se ha descubierto que algunas versiones de NodeStealer están utilizando una herramienta legítima de Windows, el Administrador de reinicio, para desbloquear archivos de base de datos SQLite que están en uso por otros programas. ¿La razón? Robar datos sensibles, como información de tarjetas de crédito, directamente desde navegadores web.
Lo más inquietante es que estos datos robados se envían a través de Telegram que, a pesar de los recientes cambios en sus políticas, sigue siendo una plataforma favorita para los ciberdelincuentes por su facilidad de uso y su privacidad.
El malvertising (publicidad maliciosa) en Facebook también juega un papel clave en estas infecciones. Los atacantes se disfrazan de marcas legítimas para engañar a los usuarios y difundir malware. Un ejemplo reciente fue detectado el 3 de noviembre de 2024, donde una campaña publicitaria imitó el software de gestión de contraseñas Bitwarden. Los anuncios patrocinados en Facebook dirigían a las víctimas a descargar una extensión falsa de Google Chrome, poniendo en riesgo sus datos más valiosos.
"Este malware roba datos personales y apunta directamente a cuentas comerciales de Facebook, lo que puede generar pérdidas económicas tanto para individuos como para empresas", explicó Bitdefender en un informe publicado el lunes. "Una vez más, queda claro cómo los ciberdelincuentes aprovechan plataformas confiables como Facebook para engañar a los usuarios y hacer que, sin darse cuenta, comprometan su propia seguridad".
Si crees que tu cuenta de Facebook ha sido comprometida, es crucial actuar rápidamente para minimizar los daños:
En resumen, NodeStealer es una prueba más de que los ciberdelincuentes no dejan de evolucionar para encontrar nuevas formas de atacar y aprovecharse de nuestras cuentas digitales. Aunque este malware apunta principalmente a robar credenciales de Facebook Business, lo que aprendemos de su funcionamiento y cómo protegernos se aplica a muchas otras amenazas en línea.
La mejor forma de defenderte es estar siempre informado, adoptar buenas prácticas de seguridad y confiar en herramientas confiables que puedan ayudarte a identificar y detener cualquier amenaza antes de que cause daños.