Investigadores de Trustwave descubren publicidad maliciosa en Facebook que utiliza como gancho anuncios para descargar temas de escritorio de Windows. También juegos y ‘Software’ pirateados que roban información y secuestrar cuentas de la red social.
Se trata del ‘malware’ SYS01, que ha sido descubierto por la compañía de ciberseguridad Morphisec en noviembre de 2022. Se utiliza para robar información de cuentas comerciales de Facebook.
Asimismo, extrae datos del navegador como credenciales de inicio de sesión, datos del historial o ‘cookies’. Eso convierte en un peligro a esta publicidad maliciosa.
Es más, se comprobó que este ‘malware’ se basa, normalmente en archivos ‘Zip’ maliciosos disfrazados con contenido para adultos. Sin embargo, en esta nueva campaña, los ciberdelincuentes han modificado su contenido.
Publicidad maliciosa roba datos
Seguidamente, llama la atención con anuncios que llegan a más personas de forma general, como son los de temas de escritorio de Windows o juegos.
La compañía de Ciberseguridad Trustwave dijo en un anuncio que el estudio que descubrió la publicidad maliciosa sigue una investigación previa sobre el ‘malware’ ladrón Ov3r_Stealer.
Parece que identifica cómo los actores de amenazas usan Facebook para desarrollar actividades maliciosas con una nueva versión del ‘malware’ ladrón SYS01.
En concreto, funciona desde aproximadamente septiembre del pasado año y continúa activa. Su modus operandi consiste en promocionar anuncios falsos a través de páginas de Facebook.
¿Cómo identificar este tipo de publicidad?
De esta forma, los actores maliciosos cambian el nombre de la página para adaptarse al tema que vayan a anunciar. Los anuncios falsos se utilizan como reclamo para engañar a los usuarios y conseguir que descarguen el ‘malware’.
Para ello, promocionan asuntos de interés general, como son los temas escritorio para Windows y la descarga de juegos o ‘software’ pirateados. Allí meten su publicidad maliciosa y roban todo.
A su vez, se hace clic en el anuncio, el usuario llega a una página web alojada en Google Sites o True Hosting donde, supuestamente, debe descargar el contenido ofertado en el anuncio.
Sin embargo, lo que descarga realmente es un archivo con el nombre del elemento del anuncio. Este se instala y permite que se ejecute un entorno virtual gracias a la publicidad maliciosa.
Siguiendo esta línea, el ‘malware’ SYS01 utiliza los ‘scripts’ PHP para crear tareas y robar datos del dispositivo. Esto incluye las ‘cookies’, el historial y las credenciales guardadas en el navegador, incluso, billeteras de Criptomonedas.
Los investigadores dicen que no es la primera vez que se usan publicidad maliciosa para difundir ‘malware’. Pero en este caso, se trata de una peligrosa por el alcance que tiene al utilizar Facebook.
