En la actualidad las campañas de phishing está al orden del día para poder robar la información de cualquier tipo de cuenta. El último caso que hemos conocido en Windows es sin duda revolucionario al haber querido robar cuentas de Facebook profesionales a través de un documento escrito en PHP que se colaba en los datos internos del navegador.
Esta nueva campaña se reveló por primera vez en julio de 2022, estando directamente vinculada a un grupo de hackers de Vietnam. Estos hacían uso de una intensa campaña de ingeniería social para poder lanzar sus ataques a través de LinkedIn a personas muy seleccionadas que puedan tener acceso a grandes cuentas de Facebook Business.
A la caza de las cuentas de Facebook Business a través de LinkedIn
El ataque que se lanzaba a través de LinkedIn está basado en el malware NET Core que se disfraza de un documento PDF que teóricamente contiene información vital para desarrollar un nuevo proyecto de marketing. Esto para usuarios que trabajan como responsables de redes sociales en una gran compañía puede ser un interesante gancho.
Y es que el ataque está sobre todo dirigido contra las cuentas de Facebook Business que cuentan con un gran abanico de usuarios para poder difundir otros enlaces fraudulentos. Su funcionamiento se basa en un script PHP que se va a extraer en la carpeta %LocalAppData%\Packages\PXT para poder ejecutarse.
Al momento de iniciarse en un segundo plano, para que la víctima no se percate de su presencia, comienza a entrar dentro de los datos confidenciales almacenados en el propio navegador, las cookies e incluso la información de las wallet de criptomonedas. Toda esta información se comienza a almacenar en un sitio web JSON, aunque previamente se difundía a través de un canal de Telegram.
Como hemos comentado anteriormente, en los últimos ataques se han centrado sobre todo en aquellos equipos de marketing que tienen acceso a grandes cuentas de Facebook y también ostenta datos empresariales de relevancia como las direcciones de PayPal, las páginas en propiedad o acceso a las cuentas empresariales. Si bien, también se ha podido detectar que como gancho además de hacer uso de un documento PDF de marketing, también se han usado señuelos de contenido para adultos, archivos de subtítulos e incluso juegos piratas.
Ante estos casos como siempre debe primar el sentido común para poder evitar descargar archivos que sean desconocidos aunque te lleguen por LinkedIn. En la actualidad cualquier tipo de plataforma puede ser ideal para enviar cualquier phishing, sobre todo las herramientas profesionales donde hay gente que tiene acceso a canales de gran difusión.
