Una nueva campaña de publicidad maliciosa en Facebook fue detectada por investigadores de Trustwave, quienes advierten sobre el uso de anuncios para temas de escritorio de Windows, juegos y software pirateados como señuelo para distribuir el malware SYS01, un programa malicioso enfocado en robar información y secuestrar cuentas de la red social.
Este malware, identificado inicialmente por Morphisec en noviembre de 2022, es conocido por extraer datos del navegador, incluyendo credenciales de inicio de sesión, historial y cookies, afectando especialmente a las cuentas comerciales de Facebook.
Los investigadores han estudiado su evolución y ahora los ciberdelincuentes han diversificado su estrategia, ofreciendo contenido más general para atraer a un mayor número de usuarios. Esto incrementa el riesgo al afectar a una base de usuarios más amplia y diversa.
Cómo secuestran cuentas de Facebook por medio de publicidades
Justo cuando el usuario oprime esta publicidad da acceso a ciberataques.
De acuerdo con el comunicado de Trustwave, los atacantes utilizan páginas de Facebook, tanto creadas específicamente como secuestradas, para promocionar los anuncios falsos.
Estas páginas son renombradas para coincidir con los temas anunciados, engañando así a los usuarios para que descarguen archivos ZIP maliciosos. Estos archivos, que pretenden ser descargas legítimas de temas de escritorio de Windows o de aplicaciones populares como Photoshop, contienen el malware SYS01.
Este utiliza ejecutables DLL, scripts de PowerShell y PHP para evadir la detección e instalar el programa malicioso, el cual extraerá datos sensibles como contraseñas y fotos privadas del dispositivo infectado.
Por qué preocupa esta publicidad a los usuarios de Facebook
Facebook cuenta con más de 2.900 millones de usuarios registrados.
La preocupación principal radica en la magnitud del alcance potencial. Facebook cuenta con aproximadamente 2.900 millones de usuarios activos mensuales y 200 millones de cuentas comerciales, lo que amplifica enormemente el potencial de daño de esta campaña.
Según Trustwave, los atacantes no se limitan solo a Facebook, pues se han detectado perfiles y estrategias similares en plataformas como LinkedIn y YouTube, lo que aumenta aún más el riesgo para los usuarios y sus datos.
La finalidad principal de estos ciberdelincuentes es obtener tokens de acceso de Facebook, permitiéndoles secuestrar cuentas comerciales y ampliar su base de operaciones.
YouTube es otra de las plataformas que usan para propagar publicidad con virus.
Una vez en posesión de estos, los delincuentes pueden tomar el control total de las cuentas, utilizar su base de clientes para propagar aún más el malware y potencialmente realizar fraudes económicos de gran envergadura.
Qué pasa si secuestran una cuenta de Facebook
Trustwave enfatiza en su comunicado que las credenciales robadas a través de Facebook podrían ser utilizadas para acceder a redes y puntos finales de las víctimas, facilitando potenciales operaciones de ransomware (robo de datos) o filtración de información confidencial.
Esta es una grave amenaza no solo para los usuarios individuales, sino también para grandes organizaciones que dependen de la red social para sus operaciones diarias.
En el campo empresarial puede ocasionar que usen la cuenta para más ataques cibernéticos.
Hay que tener en cuenta que en el caso de las empresas, esto no solo amenaza la integridad de las afectadas, sino que también, puede resultar en daños financieros y reputacionales significativos.
Cómo evitar que secuestren una cuenta de Facebook
Los investigadores han subrayado varias medidas para que los usuarios y las empresas se protejan ante estas amenazas. Recomiendan mantenerse alerta ante cualquier anuncio sospechoso y recordar que muchos ciberdelincuentes utilizan tácticas llamativas para atraer la atención.
Evitar descargar archivos de fuentes no verificadas es una práctica clave para proteger tanto la información personal como comercial. Además, mantener los sistemas y aplicaciones siempre actualizados con las últimas versiones de seguridad puede ayudar a mitigar el riesgo de infección por SYS01 y otros malware similares.
Asimismo, la seguridad en línea es una responsabilidad compartida que requiere la atención y el esfuerzo de todos los actores involucrados, desde los usuarios hasta las grandes corporaciones que desarrollan las plataformas.