Descubre Noticias de Ciberseguridad en nuestro TecnetBlog

Malvertising en Facebook Propaga el Malware SYS01stealer

Escrito por Alexander Chapellin | Oct 30, 2024 10:35:53 PM

Las redes sociales se han convertido en un blanco fácil para los cibercriminales, y esta vez han llevado sus tácticas un paso más allá. Una campaña de anuncios maliciosos ha empezado a secuestrar cuentas de Facebook para propagar un malware llamado SYS01stealer. ¿El resultado? Usuarios desprevenidos están viendo cómo su información personal y credenciales de acceso acaban en manos equivocadas.

 

Campaña Publicitaria Maliciosa

 

Expertos en ciberseguridad han descubierto una nueva campaña de anuncios maliciosos que está aprovechando la plataforma publicitaria de Meta para secuestrar cuentas de Facebook y distribuir un malware conocido como SYS01stealer.

Este tipo de "malvertising" utiliza cerca de cien dominios maliciosos que no solo sirven para esparcir el malware, sino también para dar a los atacantes un control en tiempo real sobre el ataque. En otras palabras, los cibercriminales pueden gestionar toda la operación de manera remota y en vivo, coordinando sus movimientos desde un "centro de comando" oculto en la web.

El malware SYS01stealer fue detectado por primera vez por Morphisec a inicios de 2023, en campañas que atacaban cuentas comerciales de Facebook. Para ello, los atacantes utilizan anuncios de Google y perfiles falsos en Facebook que promocionan juegos, contenido para adultos y software pirata, atrayendo así a usuarios desprevenidos.

Como otros malwares de este tipo, SYS01stealer busca robar credenciales de inicio de sesión, historial de navegación y cookies. Pero lo que hace esta amenaza especialmente dañina es que también apunta a datos de cuentas comerciales y publicitarias de Facebook. Los atacantes usan la información robada para propagar el malware aún más, a través de anuncios falsos.

Según Bitdefender, las cuentas comprometidas se convierten en la base de toda la operación. Cada cuenta pirateada puede reutilizarse para publicar más anuncios maliciosos, lo que amplía el alcance de la campaña sin que los atacantes tengan que crear nuevas cuentas desde cero.

El malware SYS01stealer se está propagando principalmente a través de anuncios maliciosos en plataformas como Facebook, YouTube y LinkedIn. Estos anuncios suelen promocionar temas populares como mejoras para Windows, juegos, software de inteligencia artificial, editores de fotos, VPN y servicios de streaming. En el caso de Facebook, la mayoría de los anuncios están orientados a hombres de 45 años o más, un grupo que parece ser más susceptible a este tipo de contenido.

Esta estrategia funciona muy bien para atraer a las víctimas a hacer clic, lo que permite a los atacantes robar datos del navegador. Si entre esos datos se incluye información de Facebook, los ciberdelincuentes pueden tomar el control de la cuenta y usarla para difundir más anuncios maliciosos, alimentando así un ciclo de infección.

Cuando los usuarios interactúan con estos anuncios, son redirigidos a sitios falsos alojados en servicios como Google Sites o True Hosting, que simulan ser marcas o aplicaciones legítimas. Además, se ha detectado que los atacantes reutilizan cuentas de Facebook hackeadas para publicar aún más anuncios fraudulentos, ampliando el alcance de la campaña sin necesidad de crear nuevas cuentas.

 

 

La primera fase del ataque comienza cuando el usuario descarga un archivo ZIP de uno de estos sitios maliciosos. Dentro del ZIP hay un archivo ejecutable que, a primera vista, parece inofensivo. Sin embargo, su verdadero propósito es cargar de manera encubierta una DLL maliciosa que inicia el proceso de infección en varias etapas.

Este proceso incluye la ejecución de comandos de PowerShell para asegurarse de que el malware no sea detectado en un entorno de prueba. También ajusta la configuración de Microsoft Defender para evitar que el antivirus detecte su presencia y establece un entorno adecuado para que el malware, escrito en PHP, pueda ejecutarse sin problemas.

En las versiones más recientes de esta campaña, los atacantes han empezado a incluir una aplicación basada en Electron dentro del archivo ZIP. Esto demuestra que están evolucionando constantemente su táctica para evadir detecciones. Dentro del paquete, también hay un archivo JavaScript ("main.js") que lanza comandos de PowerShell para verificar si el malware está siendo analizado en un sandbox, y si no, ejecuta el programa ladrón. Además, el malware se asegura de permanecer en el sistema configurando tareas programadas que le permiten reactivarse.

La flexibilidad de estos cibercriminales hace que el malware SYS01 sea especialmente peligroso. Si detectan que una versión específica de su malware está siendo identificada y bloqueada por las empresas de ciberseguridad, rápidamente modifican el código y vuelven a distribuir una versión actualizada que esquiva las nuevas defensas. Esto les permite seguir publicando anuncios maliciosos con versiones frescas del malware que logran pasar desapercibidas.

 

Podría interesarte leer:  Análisis de Malware con Wazuh

 

Cuando se trata de videojuegos falsificados, los atacantes están usando dos tácticas principales. Primero, han estado promocionando anuncios de títulos populares como Super Mario Bros Wonder, ofreciendo directamente archivos maliciosos disfrazados de demos o descargas del juego.

La segunda estrategia es un poco más compleja: están reutilizando dominios maliciosos que imitan plataformas genéricas de descarga de videojuegos. En estos sitios falsos, puedes ver juegos conocidos o lanzamientos recientes, como Black Myth: Wukong. Además, los atacantes actualizan constantemente los archivos de descarga para introducir nuevas versiones del malware, manteniendo fresco el engaño para los usuarios.

Con tantos anuncios falsos en circulación, se estima que son miles, y el hecho de que algunos han llegado a decenas de miles de personas, es probable que esta red de malvertising esté alcanzando a millones de usuarios en total. Aunque no todos caen en la trampa ni descargan los archivos maliciosos, la escala de la operación hace que incluso una pequeña tasa de éxito sea suficiente para causar daños importantes.

 

 

¿Cómo protegerte contra el malvertising en Facebook y otras plataformas?

 

Aunque las plataformas como Facebook implementan medidas de seguridad, los usuarios también pueden tomar precauciones para minimizar el riesgo de caer en una campaña de malvertising. Aquí te dejamos algunas recomendaciones clave:

 

1. Evita Hacer Clic en Anuncios Sospechosos: Si ves un anuncio que parece demasiado bueno para ser verdad, como una oferta increíblemente generosa o un servicio gratuito de una marca conocida, es mejor desconfiar. Las ofertas legítimas rara vez se ven en anuncios poco conocidos o con una calidad visual baja.

2. Usa un Bloqueador de Anuncios: Un bloqueador de anuncios no solo te ahorra molestias, sino que también puede ayudarte a evitar algunos tipos de malvertising. Además, muchos bloqueadores de anuncios avanzados tienen filtros específicos contra el malvertising.

3. Mantén tu Navegador y Software Actualizados: Muchos ataques de malvertising se aprovechan de vulnerabilidades en navegadores desactualizados. Mantener tu navegador y sistema operativo actualizados reduce el riesgo de que el malware se instale automáticamente en tu dispositivo.

4. Habilita Software de Seguridad: Instala y mantén actualizado un software de seguridad en tu dispositivo, como un antivirus o un programa anti-malware. Estas herramientas pueden detectar y bloquear códigos maliciosos antes de que causen daño.

5. Activa la Navegación Segura en Facebook y Otros Servicios: Facebook y otros servicios permiten a los usuarios activar opciones de seguridad adicionales, como la autenticación en dos pasos y la navegación segura. Estas opciones pueden ayudarte a evitar accesos no autorizados y a recibir notificaciones en caso de actividades sospechosas en tu cuenta.

6. Verifica la URL antes de Ingresar Información Personal: Cuando seas redirigido a un sitio web a través de un anuncio, verifica la URL. Si te redirige a un dominio sospechoso o que no corresponde con la marca del anuncio, cierra la página inmediatamente. Evita ingresar datos personales en sitios desconocidos o sin el protocolo "https".

 

Conclusión

 

El malvertising es una amenaza cada vez más seria, especialmente en redes sociales y plataformas populares como Facebook. Para protegerte, es clave que tengas cuidado al interactuar con anuncios online y que mantengas tus dispositivos y software siempre actualizados. Aunque Facebook y otras plataformas están reforzando sus medidas de seguridad, también es responsabilidad de los usuarios estar atentos y bien informados. Con un poco de precaución y las herramientas de seguridad adecuadas, puedes navegar con mayor tranquilidad y evitar caer en estas trampas publicitarias maliciosas.