A pesar de la sensación de declive que invade Facebook en los últimos años, la red social sigue siendo un imán para ciberdelincuentes que buscan aprovecharse de su gran base de usuarios.
En esta ocasión, la firma de ciberseguridad ESET ha desvelado una nueva y peligrosa táctica utilizada por ciberestafadores para robar credenciales de perfiles profesionales en Facebook.
A diferencia de los ataques de phishing comunes que suplantan la página oficial de Facebook, esta nueva campaña se dirige específicamente a perfiles profesionales que ofrecen servicios y productos en varias redes sociales, incluyendo Facebook.
Los ciberdelincuentes han encontrado en estos perfiles una vía para propagar estafas y amenazas adicionales una vez que han tomado el control de las mismas, aprovechándose de la confianza que los usuarios tienen en dichos perfiles.
Modus operandi
El modus operandi de esta campaña comienza con los atacantes haciéndose pasar por posibles clientes interesados en comprar un producto o servicio. Es importante destacar que los perfiles de estos supuestos clientes suelen ser recién creados, sin seguidores ni publicaciones, lo que debería ser una bandera roja evidente para los usuarios.
Ejemplo de perfil fraudulento usado en los ataques. (Imagen: ESET)
A través de mensajes privados, estos supuestos 'clientes potenciales' solicitan información detallada, como precios y tamaños. La clave reside en que adjuntan un enlace a una supuesta captura de pantalla del producto en cuestión (en realidad, un RAR), con la esperanza de que el administrador del perfil profesional descargue y ejecute el archivo adjunto.
Una vez que el administrador del perfil profesional cae en la trampa y descarga e intenta abrir el archivo adjunto, se inicia lo que se conoce como 'cadena de infección': el malware que se cuela en el equipo de la víctima es sólo un paso intermedio para instalar un segundo (o un tercero) que realizará las fases posteriores del ataque…
Desconfiad siempre de quien manda archivos comprimidos cuando no deberían estarlo. (Imagen: ESET)
La infección
…en este caso, el código malicioso —ofuscado como BASE64, para intentar ocultar su actividad maliciosa— está diseñado para robar las contraseñas almacenadas en el navegador de la víctima, cifrarlas, y enviarlas a un servidor remoto a través de una petición POST, incluyendo el nombre de usuario de Windows como parámetro.
El malware importa varios módulos de Python que le permiten acceder al sistema operativo, cifrar y descifrar datos, conectarse a bases de datos, utilizar criptografía, realizar peticiones web y procesar datos en formato JSON.
Igualmente, también busca y accede a la base de datos de contraseñas almacenadas en el navegador, conecta con la base de datos, ejecuta consultas SQL para obtener información sensible y utiliza funciones específicas para descifrar las contraseñas con la clave maestra del sistema operativo.
Ojo con esto
El robo de credenciales puede tener graves consecuencias, desde tomar el control de nuestro perfil profesional hasta comprometer la seguridad de nuestros seguidores, eso por no mencionar un posible daño irreparable a nuestra reputación online.
Este caso revela nueva una táctica de robo de credenciales, más "artesanal" en comparación con los infostealers convencionales:
"en lugar de usar un infostealer ya preparado para su uso, incluso por personas con pocos conocimientos técnicos, como Agent Tesla, Formbook y otros similares, en esta ocasión los delincuentes han optados por una vía más 'artesanal'".
Aunque un buen sistema antimalware puede detectar estas amenazas, es fundamental que los usuarios mantengan la cautela al hacer clic en enlaces y descargar archivos no solicitados
Imagen | Marcos Merino mediante IA
En Genbeta | Los métodos más usados y efectivos para descifrar contraseñas (y cómo puedes protegerte)
Ver 0 comentarios