Facebook es una de las redes sociales más populares y utilizadas del mundo, con más de 2.800 millones de usuarios activos mensuales. Sin embargo, esta popularidad también la convierte en un objetivo atractivo para los ciberdelincuentes, que buscan robar las credenciales, los datos y el dinero de los usuarios desprevenidos.
En este artículo, te explicaremos cómo un grupo de hackers vietnamitas ha estado usando un nuevo malware de Delphi para atacar a profesionales del marketing en India con el fin de secuestrar sus cuentas de Facebook Business y usarlas para publicar anuncios maliciosos. También te daremos algunos consejos para proteger tu cuenta de Facebook de este tipo de amenazas y evitar ser víctima de este tipo de ataques.
El malware de Delphi es un programa malicioso que se escribe en el lenguaje de programación Delphi, que es un lenguaje orientado a objetos basado en Pascal. El malware de Delphi se puede usar para crear diferentes tipos de aplicaciones maliciosas, como troyanos, keyloggers, ransomware, etc.
Según un informe publicado por la empresa de ciberseguridad Kaspersky, el grupo de hackers vietnamitas detrás del malware de Delphi es el mismo que está relacionado con el uso del stealer Ducktail, que es un tipo de malware que se especializa en robar las cookies de inicio de sesión de los usuarios y usarlas para acceder a sus cuentas de redes sociales.
Te podrá interesar leer: Protección contra el Robo de Cookies
El grupo de hackers vietnamitas ha estado usando el malware de Delphi para lanzar una nueva campaña que se ejecutó entre marzo y principios de octubre de 2023, dirigida a profesionales del marketing en India con el objetivo de secuestrar sus cuentas de Facebook Business. Estas son las cuentas que se usan para administrar las páginas y los anuncios de Facebook de una empresa o una marca.
El malware de Delphi se distribuye a través de archivos adjuntos maliciosos que se envían a través de mensajes de LinkedIn que redirigen a la víctima a un archivo alojado en Google Drive. El archivo malicioso tiene un icono de PDF para engañar al usuario y hacerle creer que se trata de un documento legítimo.
Al ejecutar el archivo malicioso, este guarda un script de PowerShell llamado param.ps1 y un documento PDF falso en la carpeta “C:\Users\Public” de Windows. El script usa el visor de PDF predeterminado del dispositivo para abrir el documento falso, hace una pausa de cinco minutos y luego termina el proceso del navegador Chrome.
El archivo malicioso también descarga y ejecuta una biblioteca maliciosa llamada libEGL.dll, que escanea las carpetas “C:\ProgramData\Microsoft\Windows\Start Menu\Programs” y “C:\ProgramData\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\” en busca de cualquier acceso directo (es decir, archivo LNK) a un navegador web basado en Chromium.
La siguiente etapa consiste en alterar el archivo LNK del navegador al agregar un comando “–load-extension” para lanzar una extensión maliciosa que se hace pasar por el complemento legítimo de Google Docs Offline para pasar desapercibida. La extensión, por su parte, está diseñada para enviar información sobre todas las pestañas abiertas a un servidor controlado por los atacantes registrado en Vietnam y secuestrar las cuentas de Facebook Business.
Los hackers vietnamitas usan el acceso no autorizado a las cuentas de Facebook Business para colocar anuncios con fines de lucro, perpetuando así las infecciones. Los anuncios maliciosos pueden contener enlaces a sitios web fraudulentos, productos falsos, malware o phishing.
Te podrá interesar leer: Protección de Phishing: No Muerdas el Anzuelo
El cambio en las tácticas de ataque de Ducktail se destaca mientras Google demanda a individuos desconocidos en India y Vietnam. Acusan a los demandados de capitalizar el interés público en herramientas de inteligencia artificial, como Bard, para esparcir malware a través de Facebook y robar credenciales de inicio de sesión en redes sociales.
La denuncia afirma que los demandados distribuyen enlaces maliciosos a través de publicaciones en redes sociales, anuncios patrocinados y páginas falsas que ofrecen versiones descargables de Bard y otros productos de inteligencia artificial de Google. Cuando los usuarios hacen clic en estos enlaces, son redirigidos a sitios web externos donde se descarga un archivo RAR en sus computadoras.
Estos archivos contienen una instalación capaz de agregar una extensión de navegador diseñada para robar las cuentas de redes sociales de las víctimas. Meta también informó anteriormente sobre actores de amenazas que creaban extensiones de navegador engañosas relacionadas con ChatGPT en tiendas web oficiales, bloqueando más de 1,000 URL únicas para prevenir su propagación en sus servicios.
Te podrá interesar leer: Cuidado con los enlaces falsos: Google Bard y el peligro del malware
Para evitar ser víctima de este tipo de ataques, es importante seguir algunas medidas de seguridad básicas que te ayudarán a proteger tu cuenta de Facebook y tu dispositivo de cualquier amenaza maliciosa. Estas son algunas de las recomendaciones que te sugerimos:
Podría interesarte leer: Concientización: Esencial en la Ciberseguridad de tu Empresa
En conclusión, el reciente ataque de hackers vietnamitas utilizando un nuevo malware impulsado por Delphi para dirigirse a especialistas en marketing indios destaca la evolución constante de las amenazas cibernéticas. Comprender la complejidad de estos ataques y tomar medidas proactivas para fortalecer las defensas cibernéticas son cruciales en el panorama digital actual. En este artículo te proporcionamos una visión detallada del ataque, sus posibles motivaciones y ofrece pautas prácticas para protegerse contra amenazas similares. La colaboración global y la conciencia constante son fundamentales para mantenerse un paso adelante en la lucha contra el cibercrimen.