Facebook es una de las redes sociales más populares y utilizadas del mundo, con más de 2.800 millones de usuarios activos mensuales. Sin embargo, esta popularidad también la convierte en un objetivo atractivo para los ciberdelincuentes, que buscan robar las credenciales, los datos y el dinero de los usuarios desprevenidos.
En este artículo, te explicaremos cómo un grupo de hackers vietnamitas ha estado usando un nuevo malware de Delphi para atacar a profesionales del marketing en India con el fin de secuestrar sus cuentas de Facebook Business y usarlas para publicar anuncios maliciosos. También te daremos algunos consejos para proteger tu cuenta de Facebook de este tipo de amenazas y evitar ser víctima de este tipo de ataques.
¿Qué es el malware de Delphi y cómo funciona?
El malware de Delphi es un programa malicioso que se escribe en el lenguaje de programación Delphi, que es un lenguaje orientado a objetos basado en Pascal. El malware de Delphi se puede usar para crear diferentes tipos de aplicaciones maliciosas, como troyanos, keyloggers, ransomware, etc.
Según un informe publicado por la empresa de ciberseguridad Kaspersky, el grupo de hackers vietnamitas detrás del malware de Delphi es el mismo que está relacionado con el uso del stealer Ducktail, que es un tipo de malware que se especializa en robar las cookies de inicio de sesión de los usuarios y usarlas para acceder a sus cuentas de redes sociales.
Te podrá interesar leer: Protección contra el Robo de Cookies
El grupo de hackers vietnamitas ha estado usando el malware de Delphi para lanzar una nueva campaña que se ejecutó entre marzo y principios de octubre de 2023, dirigida a profesionales del marketing en India con el objetivo de secuestrar sus cuentas de Facebook Business. Estas son las cuentas que se usan para administrar las páginas y los anuncios de Facebook de una empresa o una marca.
El malware de Delphi se distribuye a través de archivos adjuntos maliciosos que se envían a través de mensajes de LinkedIn que redirigen a la víctima a un archivo alojado en Google Drive. El archivo malicioso tiene un icono de PDF para engañar al usuario y hacerle creer que se trata de un documento legítimo.
Al ejecutar el archivo malicioso, este guarda un script de PowerShell llamado param.ps1 y un documento PDF falso en la carpeta “C:\Users\Public” de Windows. El script usa el visor de PDF predeterminado del dispositivo para abrir el documento falso, hace una pausa de cinco minutos y luego termina el proceso del navegador Chrome.
El archivo malicioso también descarga y ejecuta una biblioteca maliciosa llamada libEGL.dll, que escanea las carpetas “C:\ProgramData\Microsoft\Windows\Start Menu\Programs” y “C:\ProgramData\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\” en busca de cualquier acceso directo (es decir, archivo LNK) a un navegador web basado en Chromium.
La siguiente etapa consiste en alterar el archivo LNK del navegador al agregar un comando “–load-extension” para lanzar una extensión maliciosa que se hace pasar por el complemento legítimo de Google Docs Offline para pasar desapercibida. La extensión, por su parte, está diseñada para enviar información sobre todas las pestañas abiertas a un servidor controlado por los atacantes registrado en Vietnam y secuestrar las cuentas de Facebook Business.
Los hackers vietnamitas usan el acceso no autorizado a las cuentas de Facebook Business para colocar anuncios con fines de lucro, perpetuando así las infecciones. Los anuncios maliciosos pueden contener enlaces a sitios web fraudulentos, productos falsos, malware o phishing.
Te podrá interesar leer: Protección de Phishing: No Muerdas el Anzuelo
Google demanda a estafadores que usan señuelos Bard para diseminar malware
El cambio en las tácticas de ataque de Ducktail se destaca mientras Google demanda a individuos desconocidos en India y Vietnam. Acusan a los demandados de capitalizar el interés público en herramientas de inteligencia artificial, como Bard, para esparcir malware a través de Facebook y robar credenciales de inicio de sesión en redes sociales.
La denuncia afirma que los demandados distribuyen enlaces maliciosos a través de publicaciones en redes sociales, anuncios patrocinados y páginas falsas que ofrecen versiones descargables de Bard y otros productos de inteligencia artificial de Google. Cuando los usuarios hacen clic en estos enlaces, son redirigidos a sitios web externos donde se descarga un archivo RAR en sus computadoras.
Estos archivos contienen una instalación capaz de agregar una extensión de navegador diseñada para robar las cuentas de redes sociales de las víctimas. Meta también informó anteriormente sobre actores de amenazas que creaban extensiones de navegador engañosas relacionadas con ChatGPT en tiendas web oficiales, bloqueando más de 1,000 URL únicas para prevenir su propagación en sus servicios.
Te podrá interesar leer: Cuidado con los enlaces falsos: Google Bard y el peligro del malware
¿Cómo proteger tu cuenta de Facebook de este tipo de ataques?
Para evitar ser víctima de este tipo de ataques, es importante seguir algunas medidas de seguridad básicas que te ayudarán a proteger tu cuenta de Facebook y tu dispositivo de cualquier amenaza maliciosa. Estas son algunas de las recomendaciones que te sugerimos:
- No abras archivos adjuntos o enlaces sospechosos que recibas por correo electrónico, mensajes o redes sociales, especialmente si provienen de fuentes desconocidas o no solicitadas. Verifica siempre la identidad del remitente y el contenido del mensaje antes de hacer clic en cualquier cosa.
- Mantén tu sistema operativo, tu navegador y tus aplicaciones actualizados con las últimas versiones y parches de seguridad. Esto te ayudará a prevenir vulnerabilidades que puedan ser explotadas por los ciberdelincuentes.
- Usa un software antivirus y antimalware de confianza y escanea tu dispositivo regularmente para detectar y eliminar cualquier amenaza potencial. También puedes usar herramientas específicas para eliminar el malware de Delphi.
- Activa la autenticación de dos factores (2FA) en tu cuenta de Facebook y en cualquier otra cuenta que lo permita. Esto te proporcionará una capa adicional de seguridad al requerir un código o un dispositivo adicional para iniciar sesión, además de tu contraseña. Puedes activar la 2FA en tu cuenta de Facebook siguiendo los pasos que se indican.
- Revisa los ajustes de privacidad y seguridad de tu cuenta de Facebook y asegúrate de que solo compartes la información que quieres con las personas que quieres. También puedes revisar las sesiones activas, las aplicaciones y los dispositivos conectados a tu cuenta y eliminar los que no reconozcas o no uses. Puedes acceder a estos ajustes desde el menú de configuración de tu cuenta de Facebook.
- Cambia tu contraseña de Facebook y de cualquier otra cuenta que uses con frecuencia y usa contraseñas fuertes y únicas para cada una de ellas. No reutilices la misma contraseña para varias cuentas, ya que esto facilita el trabajo de los hackers. Puedes usar un administrador de contraseñas para generar y almacenar tus contraseñas de forma segura.
- Sé consciente de los signos de una cuenta comprometida, como actividad sospechosa, mensajes o publicaciones que no has hecho, solicitudes de amistad o de dinero que no has enviado, etc. Si detectas alguno de estos signos, actúa rápidamente y sigue los pasos que se indican para recuperar el control de tu cuenta.
Podría interesarte leer: Concientización: Esencial en la Ciberseguridad de tu Empresa
En conclusión, el reciente ataque de hackers vietnamitas utilizando un nuevo malware impulsado por Delphi para dirigirse a especialistas en marketing indios destaca la evolución constante de las amenazas cibernéticas. Comprender la complejidad de estos ataques y tomar medidas proactivas para fortalecer las defensas cibernéticas son cruciales en el panorama digital actual. En este artículo te proporcionamos una visión detallada del ataque, sus posibles motivaciones y ofrece pautas prácticas para protegerse contra amenazas similares. La colaboración global y la conciencia constante son fundamentales para mantenerse un paso adelante en la lucha contra el cibercrimen.