Los investigadores de ciberseguridad han revelado dos nuevas campañas que sirven extensiones falsas del navegador utilizando anuncios maliciosos y sitios web falsos para robar datos confidenciales.
La campaña malvertida, por Defensor de bitsestá diseñado para empujar falso «Meta verificado«Extensiones del navegador nombradas SocialMetrics Pro Ese afirma desbloquear la insignia de cheques azules para los perfiles de Facebook e Instagram. Se han observado al menos 37 anuncios maliciosos que sirven la extensión en cuestión.
«Los anuncios maliciosos están incluidos con un tutorial de video que guía a los espectadores a través del proceso de descarga e instalación de una llamada extensión del navegador, que afirma desbloquear la marca de verificación azul en Facebook u otras características especiales», dijo el proveedor de ciberseguridad rumano.
Pero, en realidad, la extensión, que está alojada en un servicio de nube legítimo llamado Box, es capaz de recopilar cookies de sesión de Facebook y enviarlas a un bot de telegrama controlado por los atacantes. También está equipado para obtener la dirección IP de la víctima enviando una consulta a IPinfo[.]IO/JSON.
Se han observado variantes seleccionadas del complemento del navegador Rogue utilizando las cookies robadas para interactuar con la API del gráfico de Facebook para obtener información adicional relacionada con las cuentas. En el pasado, malware como Nodeste ha aprovechado la API del gráfico de Facebook para recopilar detalles del presupuesto de la cuenta.
El objetivo final de estos esfuerzos es vender valiosas cuentas de negocios y anuncios de Facebook en foros subterráneos con fines de lucro a otros estafadores, o reutilizarlos para impulsar campañas más malvertidas, lo que, a su vez, conduce a cuentas más secuestradas, creando efectivamente un ciclo autoperpetuante.
La campaña exhibe todas las «huellas digitales» típicamente asociadas con De habla vietnamita Actores de amenaza, que son conocido a adoptar varios Familias de Stealer para apuntar y obtener acceso no autorizado a las cuentas de Facebook. Esta hipótesis también se ve reforzada por el uso de vietnamitas para narrar el tutorial y agregar comentarios del código fuente.
«Al usar una plataforma de confianza, los atacantes pueden generar enlaces en masa, incrustarlos automáticamente en tutoriales y actualizar continuamente sus campañas», dijo Bitdefender. «Esto se ajusta a un patrón más grande de atacantes que industrializan la malvertición, donde todo, desde imágenes de anuncios hasta tutoriales, se crea en masa».
La divulgación coincide con otra campaña que se dirige a meta anunciantes con extensiones de cromo deshonestas distribuidas a través de sitios web falsificados que se hacen pasar por herramientas de optimización de anuncios de inteligencia artificial (IA) para Facebook e Instagram. En el corazón de la operación hay una plataforma falsa nombrada Madgicx Plus.
«Promocionado como una herramienta para optimizar la gestión de la campaña y aumentar el ROI utilizando inteligencia artificial, la extensión ofrece funcionalidades potencialmente maliciosas capaces de secuestrar sesiones comerciales, robar credenciales y comprometer cuentas meta comerciales», Cyberazon dicho.
«Las extensiones se promueven como productores de productividad o rendimiento de AD, pero operan como malware de doble propósito capaz de robar credenciales, acceder a tokens de sesión o habilitar la adquisición de la cuenta.
Las extensiones, la primera de las cuales todavía están disponibles para descargar desde la tienda web de Chrome a partir de la escritura, se enumeran a continuación –
Una vez instalado, la extensión obtiene acceso completo a todos los sitios web que el usuario visita, lo que permite a los actores de amenaza inyectar scripts arbitrarios, así como interceptar y modificar el tráfico de red, monitorear la actividad de navegación, capturar entradas de formulario y recolectar datos confidenciales.
También solicita a los usuarios que vinculen sus cuentas de Facebook y Google para acceder al servicio, mientras que su información de identidad se cosecha encubiertamente en segundo plano. Además, la función complementaria de manera similar a la extensión meta verificada falsa mencionada anteriormente en que usa las credenciales de Facebook robadas de las víctimas para interactuar con la API del gráfico de Facebook.
«Este enfoque escenificado revela una clara estrategia de amenazas: capturar primero los datos de identidad de Google y luego pivotar a Facebook para ampliar el acceso y aumentar las posibilidades de secuestrar valiosos activos comerciales o publicitarios», dijo Cyberazon.
Fuente