Los investigadores de ciberseguridad han revelado dos nuevas campañas que utilizan publicidad maliciosa y sitios web falsos para servir extensiones falsas del navegador, robando datos confidenciales.
La campaña de malvertimiento de defensa por bitDefender está diseñada para impulsar una extensión de navegador de «meta-validación» falsa llamada SocialMetrics Pro, que afirma desbloquear la insignia de cheques azules en los perfiles de Facebook e Instagram. Se han observado al menos 37 anuncios maliciosos que sirven la extensión en cuestión.
«Los anuncios maliciosos hacen un video tutorial que guiará a los espectadores a descargar e instalar las llamadas extensiones de navegador que afirman desbloquear las garrapatas de verificación azul de Facebook y otras características especiales», dijo el proveedor de seguridad cibernética rumana.
Pero en realidad, una extensión alojada en un servicio legal en la nube llamado Box puede recopilar cookies de sesión de Facebook y enviarlas a un bot de telegrama controlado por el atacante. También está equipado para obtener la dirección IP de la víctima enviando una consulta a ipinfo (.) IO/JSON.
Se puede observar una variante de selección del complemento del navegador Rogue utilizando cookies robadas e interactuar con la API del gráfico de Facebook para recuperar información adicional relacionada con su cuenta. En el pasado, Malware como Nodestealer ha aprovechado la API del gráfico de Facebook para recopilar detalles del presupuesto de la cuenta.
El objetivo final de estos esfuerzos es vender valiosas cuentas de negocios y publicidad de Facebook en foros subterráneos para beneficiar a otros estafadores o reutilizarlos para promover más campañas de fraude.
La campaña muestra todas las «huellas digitales» que generalmente están asociadas con actores de amenaza de habla vietnamita que se sabe que emplean diferentes familias Steeler para apuntar y adquirir acceso no autorizado a su cuenta de Facebook. Esta hipótesis se ve reforzada por el uso de personas vietnamitas para narrar el tutorial y agregar comentarios en el código fuente.
«Al usar una plataforma de confianza, los atacantes pueden generar grandes cantidades de enlaces, incrustarlos automáticamente en tutoriales y actualizar continuamente campañas», dice Bitdefender. «Esto se ajusta al patrón más grande de la industrialización de los atacantes, donde todo, desde imágenes publicitarias hasta tutoriales, se crea a la vez».
Esta divulgación coincide con otra campaña dirigida a los meta-administradores que utilizan extensiones Rogue Chrome, distribuidas a través de sitios web falsificados que se disfrazan de herramientas de optimización de anuncios de inteligencia artificial (IA) para Facebook e Instagram. En el corazón de la operación hay una plataforma falsa llamada Madgicx Plus.
«Esta extensión, promocionada como una herramienta para optimizar la gestión de la campaña y mejorar el ROI utilizando inteligencia artificial, proporciona características maliciosas que pueden secuestrar sesiones comerciales, robar calificaciones y compromiso de cuentas de metabusiness».
«La extensión se anuncia como un potenciador de rendimiento de productividad o publicidad, pero actúa como malware de doble propósito que puede robar credenciales, acceder a tokens de sesión y habilitar la adquisición de cuentas.
La primera extensión todavía está disponible para descargar desde la tienda web de Chrome al momento de escribir, pero se enumera a continuación –
Una vez instalado, la extensión obtiene acceso completo a todos los sitios web que los usuarios visitan, lo que permite a los actores de amenaza inyectar scripts, interceptar y modificar el tráfico de red, monitorear la actividad de navegación, capturar la entrada de formulario y cosechar datos confidenciales.
Los usuarios también vincularán sus cuentas de Facebook y Google para alentarlos a acceder al servicio, pero su identidad se cosecha en secreto en segundo plano. Además, el complemento funciona de manera similar a la extensión falsa de meta-validación mencionada anteriormente en que utiliza las credenciales de Facebook robadas de la víctima para interactuar con la API del gráfico de Facebook.
«Este enfoque paso a paso revela una clara estrategia de factor de amenaza. Primero captura los datos de ID de Google y luego los pivotos a Facebook para aumentar el acceso, aumentando las posibilidades de secuestrar valiosos activos comerciales o publicitarios».
Source link
