Investigadores de seguridad han dado a conocer una campaña que están llevando a cabo los cibermalos por la cual usan anuncios de Facebook para distribuir malware y secuestrar cuentas de esta red social.
El anzuelo es, una vez más, el sexo y la sexualización femenina. La campaña muestra imágenes lascivas de mujeres jóvenes. Algunas de estas fotos habrían sido editadas o generadas por inteligencia artificial. Los objetivos principales son hombres de 40 años o más de Europa, África y el Caribe.
Los ciberdelincuentes aprovechan herramientas legítimas para la distribución de anuncios online e insertan los enlaces maliciosos en ellos. Su meta final es entregar una nueva versión del malware NodeStealer a los dispositivos de las víctimas.
El mayor peligro de la amenaza es que solo con hacer clic en el anuncio se descargaba un archivo ejecutable malicioso en el dispositivo de la víctima.
Esta nueva campaña, detallada por Bitdefender, los cibermalos han usado al menos una decena de cuentas comprometidas para ejecutar y administrar anuncios que se encargaban de distribuir el citado malware.
Los investigadores de seguridad han encontrado que más de 100.000 usuarios han llegado a descargar el malware en solo 10 días.
Se desconoce quiénes son los autores
Por el momento no se ha esclarecido qué grupo de ciberdelincuentes se encuentra detrás de esta campaña. Los primeros ataques fueron atribuidos a piratas vinculados a Vietnam, que apuntaban a usuarios empresariales a través de Facebook Messenger.
La última variante de NodeStealer encontrada en esta campaña más reciente está ligeramente actualizada. Dispone de nuevas funciones con las que los piratas informáticos obtienen acceso a herramientas adicionales (como Gmail y Outlook) y pueden descargar cargas útiles maliciosas extra.
Los investigadores alertan de que una vez los cibermalos logran acceso a las cookies del navegador de los usuarios sirviéndose de las funciones básicas de NodeStealer, adquieren la capacidad de apoderarse de sus cuentas de Facebook y acceder a información confidencial.
Posteriormente, pueden cambiar las contraseñas y activar medidas de seguridad para impedir el acceso al propietario legítimo. Con ello, les es muy fácil cometer fraudes de todo tipo.