jueves, 7 noviembre, 2024
Suscríbete Gratis
Malware

Campaña global de publicidad maliciosa dirigida a metapáginas comerciales

Foto del avatar
Revista Ciberseguridad
6 de noviembre de 2024
171 VISITAS
5 0
Campaña global de publicidad maliciosa dirigida a metapáginas comerciales

En un mundo regido por la publicidad, las empresas y organizaciones no son las únicas que utilizan esta poderosa herramienta. Los ciberdelincuentes tienen la habilidad de explotar el motor que impulsa las plataformas en línea corrompiendo el vasto alcance de la publicidad para distribuir malware en masa.

Mientras que las empresas legítimas dependen de los anuncios para llegar a nuevas audiencias, los piratas informáticos aprovechan estas plataformas para engañar a los usuarios para que descarguen software dañino. Los anuncios maliciosos a menudo parecen promocionar software, servicios de transmisión o productos legítimos, lo que dificulta a los usuarios distinguir entre contenido seguro y peligroso.

Bitdefender Labs ha estado rastreando la publicidad maliciosa durante años, analizando cómo los ciberdelincuentes utilizan estas tácticas para atacar a personas de todo el mundo. Nuestra última investigación se centra en una campaña en crecimiento que aprovecha la plataforma publicitaria de Meta para difundir el malware SYS01 InfoStealer.

Este ataque continuo se hace pasar por marcas populares para distribuir malware que roba datos personales. La escala y la sofisticación de esta campaña de publicidad maliciosa resaltan hasta qué punto han llegado los ciberdelincuentes al utilizar anuncios como armas para su propio beneficio.

En este artículo, exploraremos cómo funciona la campaña SYS01, el modelo cibercriminal que la impulsa y cómo los piratas informáticos utilizan cuentas secuestradas para mantener la operación en funcionamiento. También ofreceremos algunos consejos cruciales sobre cómo los usuarios pueden protegerse contra esto.

Hallazgos clave

  • Ataque continuo : la campaña de publicidad maliciosa que ha estado causando estragos en las metaplataformas durante al menos un mes está evolucionando continuamente y aparecen nuevos anuncios a diario. El malware SYS01 InfoStealer se ha convertido en un arma central en esta campaña, apuntando efectivamente a víctimas en múltiples plataformas.
  • Entrega de ElectronJs y suplantación ampliada : en comparación con campañas de publicidad maliciosa anteriores, el malware SYS01 ahora se entrega a través de una aplicación ElectronJs. Para maximizar el alcance, los actores de amenazas han comenzado a hacerse pasar por una amplia gama de herramientas de software conocidas, lo que aumenta la probabilidad de apuntar a una base de usuarios más amplia.
  • Uso extensivo de dominios maliciosos : la campaña de publicidad maliciosa aprovecha casi cien dominios maliciosos, utilizados no solo para distribuir el malware sino también para operaciones de comando y control (C2) en vivo, lo que permite a los actores de amenazas gestionar el ataque en tiempo real.
  • Suplantación masiva de marcas : los piratas informáticos detrás de la campaña utilizan marcas confiables para ampliar su alcance. Los investigadores de Bitdefender Labs notaron que se están utilizando cientos de anuncios que se hacen pasar por software de edición de video popular como CapCut, herramientas de productividad como Office 365, servicios de transmisión de video como Netflix e incluso videojuegos para atraer a los usuarios. La suplantación generalizada aumenta la probabilidad de atraer a una audiencia más amplia, lo que hace que la campaña sea muy eficaz.
  • Alcance global : el alcance de este ataque es global, con víctimas potenciales de millones, abarcando regiones como la UE, América del Norte, Australia y Asia, particularmente hombres de 45 años o más. Si bien Meta proporciona algunos datos sobre el impacto de los anuncios dentro de la UE, existe una transparencia limitada sobre cómo estos anuncios maliciosos afectan a los usuarios fuera de esta región, especialmente en los EE. UU.
  • Tácticas de evasión dinámica : los actores de amenazas evolucionan continuamente sus estrategias, adaptando cargas útiles maliciosas casi en tiempo real para evitar la detección. Una vez que las empresas antivirus detectan y bloquean una versión del dropper de malware, los piratas informáticos mejoran los métodos de ofuscación y relanzan nuevos anuncios con versiones actualizadas.

La campaña publicitaria maliciosa

Si bien el malware distribuido a través de anuncios en las redes sociales no es una innovación en el ciberespacio criminal, una campaña que comenzó en septiembre se destacó por las muestras maliciosas que se distribuyeron y por el enfoque genérico de suplantación utilizado por los ciberdelincuentes. Bitdefender ha analizado previamente ladrones de información que se distribuyeron a través de anuncios que se hacían pasar por software de Inteligencia Artificial o que prometían contenido «provocativo».

En la campaña actual, los actores de amenazas se hacen pasar por multitud de herramientas de software relacionadas con la productividad, la edición de vídeo o fotografías (Capcut, Canva, Adobe Photoshop), redes privadas virtuales (Express VPN, VPN Plus), servicios de streaming de películas como Netflix, mensajería instantánea. software como Telegram e incluso videojuegos.

Algunos anuncios pueden terminar publicándose durante semanas y estar dirigidos principalmente a hombres mayores.

En cuanto a qué videojuegos fueron suplantados, hemos observado dos enfoques. El primero fue promocionar anuncios de Super Mario Bros Wonder, ofreciendo directamente muestras maliciosas.

El segundo enfoque consistía en reutilizar dominios maliciosos que se hacían pasar por una plataforma de descarga de videojuegos genérica (que contenía títulos conocidos o éxitos recientes como Black Myth: Wukong). Los actores de amenazas también cambiaron el mecanismo de descarga de muestras más nuevas que eran similares a las obtenidas de anuncios anteriores.

Teniendo en cuenta la multitud de entidades suplantadas, la cantidad de anuncios distribuidos, que asciende a miles, y el alcance de anuncios particulares de decenas de miles de personas, sería seguro decir que esta infraestructura publicitaria maliciosa podría llegar a millones de personas. Incluso si la mayor parte de la audiencia no interactúa con los anuncios o no descarga las muestras maliciosas, un grupo de víctimas potenciales tan grande prácticamente garantiza el éxito.

Tácticas de distribución de la campaña de publicidad maliciosa Infostealer SYS01

Los anuncios normalmente apuntan a un enlace de MediaFire o hacen referencia a uno que permite la descarga directa de software malicioso. Las muestras se obtienen en forma de archivo .zip que contiene una aplicación Electron. Si bien la estructura del archivo extraído puede diferir, según la muestra, el método de infección sigue siendo el mismo: el código Javascript incrustado en la aplicación Electron terminará soltando y ejecutando software malicioso.

En muchos casos, el malware se ejecuta en segundo plano mientras una aplicación señuelo (que a menudo imita el software promocionado con publicidad) parece funcionar con normalidad, lo que dificulta que la víctima se dé cuenta de que ha sido comprometida.

Las aplicaciones creadas con el marco Electron se incluyen en archivos ASAR ( Atom Shell Archive Format ). Todos los archivos extraídos contenían un archivo app.asar o incluían directamente el archivo ASAR en el ejecutable principal. El archivo ASAR contiene, además de los iconos de aplicaciones habituales, muchos archivos sospechosos:

  • Otro archivo protegido con contraseña;
  • Un ejecutable legítimo de archivado/desarchivado (por ejemplo, 7za.exe – c136b1467d669a725478a6110ebaaab3cb88a3d389dfa688e06173c066b76fcf, que es una versión independiente de 7zip);
  • Un archivo main.js que contiene código ofuscado;
  • [Opcional] Scripts de PowerShell utilizados como intermediarios;
  • Un archivo de texto que contiene modelos de GPU conocidos.

Tácticas de evasión

La adaptabilidad de los ciberdelincuentes detrás de estos ataques hace que la campaña SYS01 Infostealer sea especialmente peligrosa. Utilizan tácticas de evasión avanzadas para mantener al ladrón de información oculto a las herramientas de ciberseguridad. El malware emplea detección de espacio aislado, deteniendo sus operaciones si detecta que se está ejecutando en un entorno controlado, que los analistas suelen utilizar para examinar el malware. Esto permite que en muchos casos pase desapercibido. En este caso específico, las comprobaciones anti-sandbox se realizan antes de la ejecución de cada componente principal: el Javascript Unpacker, el script PHP que garantiza la persistencia y el PHP Infostealer.

Cuando las empresas de ciberseguridad comienzan a marcar y bloquear una versión específica del cargador, los piratas informáticos responden rápidamente actualizando el código. Luego publican nuevos anuncios con malware actualizado que evade las últimas medidas de seguridad.

Modelo de negocio de los ciberdelincuentes

El éxito de esta campaña está impulsado por un modelo de negocio altamente estructurado que hace que esta operación maliciosa sea autosuficiente:

Secuestro de cuentas de Facebook para potenciar el ataque

Un objetivo clave de SYS01InfoStealer es recopilar credenciales de Facebook, específicamente cuentas comerciales de Facebook. Una vez que los piratas informáticos obtienen acceso a estas cuentas, no sólo explotan los datos personales; utilizan las cuentas secuestradas para lanzar más anuncios maliciosos.

Con acceso a las herramientas publicitarias de Facebook a través de cuentas comprometidas, los ciberdelincuentes pueden crear nuevos anuncios maliciosos a escala sin despertar sospechas. Al utilizar cuentas comerciales legítimas de Facebook, los anuncios parecen más creíbles y evitan los filtros de seguridad habituales. Esto permite que el ataque se propague más y llegue a más víctimas con cada nueva ola de anuncios.

Escalando el ataque

Las cuentas de Facebook secuestradas sirven como base para ampliar toda la operación. Cada cuenta comprometida se puede reutilizar para promover anuncios maliciosos adicionales, amplificando el alcance de la campaña sin que los piratas informáticos tengan que crear nuevas cuentas de Facebook. Esta es una forma rentable y eficiente en términos de tiempo de dirigir constantemente el tráfico hacia descargas maliciosas. Estar en el negocio de la publicidad maliciosa no sólo es rentable: también permite que los actores de amenazas permanezcan fuera del radar y no dependan de métodos tradicionales o más obvios para comprometer cuentas, como las campañas de phishing por correo electrónico.

Ingresos y robo de datos

Además de utilizar cuentas secuestradas para financiar y promover sus campañas, los ciberdelincuentes también pueden monetizar las credenciales robadas vendiéndolas en mercados clandestinos, siendo las cuentas empresariales de Facebook muy valiosas. La información personal robada, incluidos datos de inicio de sesión, información financiera y tokens de seguridad, puede venderse a otros actores maliciosos que pueden intentar utilizarla para alimentar delitos de robo de identidad y otros ataques, convirtiendo a cada nueva víctima en una fuente de ingresos.

Cómo protegerse

  1. Examine los anuncios : tenga cuidado al hacer clic en anuncios que ofrecen descargas gratuitas o que parecen demasiado buenos para ser verdad, incluso en plataformas confiables como Meta. Verifique siempre la fuente antes de descargar cualquier software.
  2. Utilice únicamente fuentes oficiales : descargue siempre el software directamente desde el sitio web oficial, no a través de plataformas de terceros o servicios para compartir archivos.
  3. Instale software de seguridad y manténgalo actualizado : instale software de seguridad confiable y manténgalo actualizado. Opte por soluciones de seguridad que puedan detectar amenazas en evolución como SYS01.
  4. Habilite la autenticación de dos factores (2FA) : asegúrese de que 2FA esté habilitado en su cuenta de Facebook, especialmente si la usa con fines comerciales. Esto agregará una capa adicional de seguridad en caso de que sus credenciales se vean comprometidas.
  5. Supervise sus cuentas comerciales de Facebook : revise periódicamente sus cuentas comerciales para detectar accesos no autorizados o actividades sospechosas. Si ve un comportamiento inusual, infórmelo inmediatamente a Facebook y cambie sus credenciales de inicio de sesión.

Obtenga protección integral en todos los dispositivos

La protección integral multicapa lo mantiene a salvo de todo tipo de amenazas cibernéticas, desde virus, malware, spyware, ransomware y los ataques de phishing más sofisticados.

Si sospecha que alguien está intentando estafarlo o si un sitio web parece sospechoso, compruébelo con Scamio , nuestro servicio gratuito de detección de estafas impulsado por inteligencia artificial . Envíe cualquier texto, mensaje, enlace, código QR o imagen a Scamio, que los analizará para determinar si son parte de una estafa. Scamio es gratuito y está disponible en Facebook Messenger , WhatsApp , tu navegador web y Discord .

Descubre más desde Revista Ciberseguridad

Suscríbete y recibe las últimas entradas en tu correo electrónico.

Revista Ciberseguridad

Revista Ciberseguridad

Fuente independiente de noticias y análisis sobre la ciberseguridad, que cubre las últimas noticias y la investigación de ciberamenazas, malware, phishing, etc.

Noticias Relacionadas

Leave A Reply

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Redes Sociales

RSS
Facebook
X (Twitter)
LinkedIn
Hosted by CDMON

Agenda

RSS Podcasts

RSS The Hacker News

RSS KitPloit – PenTest & Hacking Tools

RSS Graham Cluley

Suscríbete Gratis

Introduce tu correo electrónico para suscribirte a este blog y recibir avisos de nuevas entradas.

© 2024 Revista Ciberseguridad | Cookies | Legal | Privacidad
Diseño Web: ProsiNet
Suscríbete Gratis
© 2024 Revista Ciberseguridad | Cookies | Legal | Privacidad