EUROPA PRESSMadrid,
España
Ciberdelincuentes han lanzado una campaña a gran escala en el último mes
contra las cuentas empresariales de Facebook, empleando para ello la plataforma
Messenger, en la que envía mensajes sobre la violación de las políticas
del servicio y enlaces con archivos comprimidos infectados que
incluyen un 'script' capaz de hacerse con las 'cookies' y las contraseñas.
Este grupo
de atacantes, con sede en Vietnam, habría logrado comprometer miles de empresas
y organizaciones a través del servicio de mensajería de Facebook mediante la
técnica de 'phishing', según ha podido comprobar desde Guardio Labs. En los
últimos 30 días se ha dirigido principalmente a Norteamérica,
Europa y Oceanía.
Estos expertos en ciberseguridad aseguran que el flujo de
ataque "es una combinación de técnicas, abuso de plataformas abiertas y
libres, así como de numerosos métodos de
ofuscación y ocultamiento", según el informe en el que detallan su
funcionamiento.
Para llevar a cabo estas campañas, los ciberdelincuentes
envían un mensaje con una 'url' a través de Messenger a cuentas de empresas y
dueños de negocios. En estos enlaces se les anima a que hagan clic en el
archivo adjunto malicioso.
Desde Guardio Labs apuntan a que si bien los contenidos de
estos mensajes varían, "todos
parecen compartir el mismo contexto" y que estos están
relacionados con preguntas relacionadas con un producto que se anuncia en la
cuenta comercial o bien con quejas dirigidas a la página por presuntamente
violar las políticas de la plataforma.
VARIACIONES EN EL CÓDIGO
Para pasar
desapercibidos, los ciberdelincuentes envían cada mensaje con una serie de
variaciones, tanto en el texto como en el tema, así como distintos nombres de
archivo, añadiendo caracteres Unicode algunas palabras. De ese modo, evitan ser
detectados por soluciones 'antispam'.
La carga útil maliciosa (project.py) se registra en formatos
RAR o ZIP, conteniendo un solo archivo en su interior. Uno de los 'scripts' que
Guardio Labs detectó mostraba un sistema
de lotes, es decir, que se ejecutan línea por línea. Este, a su vez,
actuaba como 'dropper', un tipo de 'malware' que incluye un archivo ejecutable.
De ese modo, el primer archivo descarga otro archivo ZIP,
generalmente alojado en una plataforma de código gratuito, como GitHub o
GitLab. Este último contiene otro de secuencia de comandos por lotes que se
ejecuta directamente y que presenta una codificación particular.
En concreto,
el archivo de texto está codificado al principio y al final en UTF-16LE,
mientras que la gran mayoría de los caracteres está en código ASCII. Según los
analistas, se trata de "un truco inteligente para ocultar contenido por
lotes" a escáneres automatizados, lo que evita que se limite el alcance
del ataque.
Así, al tratarse de un 'script' por lotes, se ejecutan todas
las líneas de código, tanto las benignas como las malignas, que usan el entorno de Python para recopilar
'cookies' y datos de inicio de sesión, con nombres y contraseñas
almacenadas en el navegador de las víctimas.
Una vez registrada la información, se envía en conjunto a un
canal de Telegram o Discord usando para ello la interfaz de programación de
aplicaciones (API) del 'bot' de estas plataformas de comunicación.
Además de robarlas, el 'script' malicioso elimina después
todas las 'cookies', una acción que tiene como resultado la expulsión de las
víctimas de sus cuentas. En ese momento, los ciberdelincuentes secuestran sus
inicios de sesión y reemplazan las contraseñas para hacerse con ellas.
Desde la compañía de ciberseguridad han apuntado que los
ciberdelincuentes poseen "un ejército de 'bots' y cuentas falsas",
así como una lista formada por millones de cuentas y páginas administradas por
empresas, que les permite enviar más de 100,000
mensajes de 'phishing' en todo el mundo a la semana.
Es más, según sus estadísticas, del total de cuetnas de
empresas en FAcebook, al menos un 7 por ciento recibieron estas comunicaciones
infectadas en los últimos 30 días y alrededor del 0,4 por ciento de ellas
descargó el archivo malicioso adjunto, de modo que una de cada 250 cuentas
finalmente fueron infectadas.
El investigador de Ciberseguridad de Guardio Oleg Zaytsev apunta, además, que el ratio de éxito de este campaña es de una de cada 70 cuentas infectadas, entendiendo que para el robo de las credenciales y de la cuenta los usuarios todavía tienen que ejecutar el archivo descargado.
