Investigación de Bitdefender Labs sobre una campaña publicitaria maliciosa en Facebook dirigida a usuarios de Bitwarden

Investigación de Bitdefender Labs sobre una campaña publicitaria maliciosa en Facebook dirigida a usuarios de Bitwarden

A lo largo de 2024, Bitdefender Labs ha estado monitoreando de cerca una serie de campañas de publicidad maliciosa que explotan plataformas populares para distribuir malware. Estas campañas utilizan anuncios falsos para engañar a los usuarios e instalar software malicioso disfrazado de aplicaciones legítimas o actualizaciones.

Una de las campañas más recientes descubiertas por Bitdefender Labs involucra una extensión falsa de Bitwarden anunciada en la plataforma de redes sociales Facebook de Meta. La campaña engaña a los usuarios para que instalen una extensión de navegador dañina bajo la apariencia de una actualización de seguridad.

Hallazgos clave incluyen:

  • Explotación de la plataforma: Los atacantes están aprovechando la plataforma publicitaria de Facebook para entregar anuncios que parecen legítimos pero que conducen a un sitio web malicioso.
  • Suplantación de marcas reputadas: La campaña suplanta a Bitwarden, un popular gestor de contraseñas, para generar confianza y crear un sentido de urgencia al instar a los usuarios a instalar una supuesta «actualización de seguridad».
  • Demografía objetivo específica: Lanzada el 3 de noviembre de 2024, esta campaña apunta específicamente a consumidores de entre 18 y 65 años en toda Europa.
  • Alcance actual y potencial de expansión global: Los anuncios maliciosos ya se han mostrado a miles de usuarios y podrían expandirse aún más. Si no se controla, esta campaña podría escalar a nivel mundial, afectando a usuarios en todo el mundo.
  • Uso de cadenas de redirección: Los usuarios que hacen clic en estos anuncios son redirigidos a través de múltiples sitios, llegando finalmente a una página de phishing que imita la Chrome Web Store oficial para ocultar la intención maliciosa del anuncio.
  • Recolección de datos en cuentas personales y comerciales: El malware recopila datos personales y apunta a cuentas comerciales de Facebook, lo que podría llevar a pérdidas financieras para individuos y empresas.

Una vez más, esta campaña destaca cómo los actores maliciosos explotan plataformas de confianza como Facebook para atraer a los usuarios a comprometer su propia seguridad. Al hacerse pasar por una herramienta confiable e imitar notificaciones urgentes de actualización, los ciberdelincuentes obtienen acceso a información personal y comercial valiosa.

Gracias a la investigación de Bitdefender Labs, ahora tenemos una comprensión más clara de las tácticas en evolución utilizadas en este tipo de ataques:

1. Primer paso: Anuncios falsos para atraer a los usuarios

El ataque comienza con un anuncio engañoso en Facebook que advierte a los usuarios que sus contraseñas están en riesgo y los insta a actualizar su extensión de navegador Bitwarden. El anuncio parece legítimo, utilizando la marca de Bitwarden y un lenguaje urgente, como «¡Advertencia: Sus contraseñas están en riesgo!» para incitar a los usuarios a actuar.

Al hacer clic en el anuncio, los usuarios son llevados a una página web falsa diseñada para imitar la Chrome Web Store oficial. Cuando los usuarios hacen clic en «Agregar a Chrome», son redirigidos a un enlace de Google Drive que contiene un archivo zip con la extensión maliciosa. Los atacantes guían a los usuarios a través de un proceso para instalar la extensión mediante:

  • Descomprimir el archivo
  • Ir a la configuración de extensiones de su navegador a través de chrome://extensions
  • Habilitar el Modo Desarrollador
  • Cargar manualmente la extensión descomprimida (sideloading).

Este método manipula a los usuarios para que pasen por alto las comprobaciones de seguridad del navegador, permitiendo que el malware se instale sin ser detectado.


2. Detalles de la extensión maliciosa: Acceso completo y permisos sospechosos

Una vez instalada, la extensión maliciosa solicita permisos extensivos que le permiten interceptar y manipular las actividades en línea del usuario. Un análisis más detallado del archivo manifest de la extensión revela permisos para operar en todos los sitios web, modificar solicitudes de red y acceder al almacenamiento y las cookies. Aspectos clave del manifest incluyen:

{
    "name": "Bitwarden Password Manager",
    "version": "0.0.1",
    "manifest_version": 3,
    "background": {
        "service_worker": "service-worker-loader.js",
        "type": "module"
    },
    "permissions": [
        "contextMenus",
        "storage",
        "cookies",
        "tabs",
        "declarativeNetRequest",
        "webNavigation",
        "webRequest",
        "management"
    ]
}

El script service-worker-loader.js de la extensión inicia background.js, el componente principal que impulsa las operaciones maliciosas. Además, popup.js, un script ofuscado, se carga cuando los usuarios hacen clic en el ícono de la extensión en su navegador, permitiéndole:

  • Acceder a las cookies de https://facebook.com, específicamente la cookie ‘c_user’ que contiene el ID de usuario.
  • Manipular el DOM del navegador para mostrar mensajes de carga falsos para legitimidad o engaño.

3. Background Worker: Recopilación y Exfiltración de Datos

El script background.js, que se activa al instalar la extensión, es el núcleo de este ataque.

javascriptCopiarEditarchrome.runtime.onInstalled.addListener(async details => {
    getFacebookCookies();
});

Así es como funciona:

  • Recolección de Cookies: Al instalarse, background.js llama a getFacebookCookies() para buscar cookies de Facebook. Si se encuentran, recoge más datos utilizando la función collectData().
  • Recopilación de Datos de IP y Geolocalización: La extensión consulta servicios como https://api.ipify.org y https://freeipapi.com para obtener datos de IP y ubicación.
  • Extracción de Datos de Facebook: A través de la Graph API de Facebook, el malware obtiene datos del usuario, incluyendo:
    • Detalles personales como el ID de usuario y el nombre.
    • Información de cuentas comerciales y cuentas publicitarias.
    • Detalles de tarjetas de crédito y facturación asociadas a las cuentas publicitarias.

Una vez recolectados, los datos se envían a una URL de Google Script, que actúa como el servidor de comando y control (C2) para los atacantes. La función sendData() maneja la exfiltración de los datos al codificarlos y transmitir la información sensible.


4. Estrategias de Detección y Defensa

Detectar y mitigar este ataque es un desafío para los equipos de ciberseguridad debido a su dependencia de plataformas legítimas como Facebook y Google Drive. Aquí hay algunas ideas de detección para profesionales de seguridad:

  • Monitorear Permisos Sospechosos: Los permisos declarativeNetRequest y webRequest, junto con el acceso a cookies, son fuertes indicadores de un posible malware.
  • Firmas Comportamentales: Funciones ofuscadas como chrome.runtime.onInstalled.addListener y llamadas a las APIs de graph.facebook.com pueden servir como indicadores de compromiso (IoCs).

Consejos de Seguridad para los Usuarios

Para protegerse de campañas de malvertising similares, sigue estos consejos esenciales de seguridad:

  • Verificar Actualizaciones de Extensiones: Siempre actualiza las extensiones directamente desde tiendas oficiales de navegadores (por ejemplo, Chrome Web Store) y no desde anuncios o enlaces de terceros.
  • Revisar Anuncios y Enlaces: Ten precaución con los anuncios patrocinados en redes sociales, especialmente aquellos que requieren acción inmediata o actualizaciones para herramientas de seguridad.
  • Comprobar Permisos de Extensiones: Antes de instalar o actualizar una extensión, revisa sus permisos. Las extensiones que solicitan acceso a cookies, solicitudes de red o todos los datos de sitios web pueden ser maliciosas.
  • Habilitar Funciones de Seguridad: Utiliza configuraciones de seguridad del navegador, como desactivar el Modo Desarrollador cuando no esté en uso, para evitar la instalación no autorizada de extensiones.
  • Reportar Anuncios Sospechosos: Si encuentras anuncios engañosos o maliciosos en redes sociales, repórtalos a la plataforma para ayudar a prevenir la propagación de ataques similares.

Consejo Pro: Usa Bitdefender Scamio para evitar estafas y anuncios maliciosos.

Bitdefender Scamio es una herramienta gratuita de detección de estafas que puedes usar para comprobar si los enlaces o mensajes que ves en línea son parte de una estafa. Está disponible en Facebook Messenger, WhatsApp, tu navegador web y Discord.

Veamos qué dijo Scamio sobre el anuncio:

También puedes ayudar a otros a mantenerse seguros compartiendo Scamio con ellos en Francia, Alemania, España, Italia, Rumania, Australia y el Reino Unido.

Además, con el lanzamiento de nuestro nuevo Scam Copilot, puedes obtener protección integral contra estafas en todos tus dispositivos, con acceso a tu chatbot personal de asesor de estafas, alertas de olas de estafas en tu área, detección en tiempo real de estafas en tus actividades de navegación y protección contra acceso remoto, entre otros. Las funciones de Scam Copilot, junto con nuestra galardonada protección contra malware, se encuentran en nuestras soluciones de seguridad todo-en-uno.

Fuente: https://www.bitdefender.com/en-us/blog/labs/inside-bitdefender-labs-investigation-of-a-malicious-facebook-ad-campaign-targeting-bitwarden-users

El producto del año (AV-Comparatives)

El producto del año (AV-Comparatives)

Nuevamente en 2022

El renombrado laboratorio de pruebas de antivirus austriaco AV-Comparatives ha publicado su Consumer Summary Report 2022, otorgando a Bitdefender el codiciado premio al «Producto del año» por quinta vez, más que cualquier otro proveedor en la última década.

AV-Comparatives probó rigurosamente 17 productos de seguridad para el consumidor para medir su capacidad para defenderse de las amenazas de Internet del mundo real, el malware completamente nuevo y los ataques dirigidos avanzados, todo mientras evita la tensión en los recursos del sistema de la PC.

Bitdefender Antivirus, que ha sido seleccionado como el producto del año 5 veces en los últimos 10 años, destaca como la solución de seguridad cibernética más exitosa en este campo y en comparación con sus competidores.

Protección fiable a lo largo del tiempo

Nuestra tecnología antivirus central obtiene constantemente puntajes perfectos y casi perfectos en pruebas independientes en varias organizaciones de la industria; Diseñado para proteger a los usuarios contra malware, phishing, sitios web maliciosos, Además incluye otras características clave como firewall, filtro de correo no deseado, administrador de contraseñas, triturador de archivos, controles parentales y más.

Por ejemplo, en la Prueba de Protección contra Amenazas Avanzadas (ATP) de AV-Comp, Bitdefender Internet Security emergió como el producto más recomendado después de su desempeño estelar en una amplia gama de escenarios de ataques dirigidos, desde ingeniería social hasta malware y código malicioso puro inyectado directamente en la memoria. (ataques sin archivos).

Tú también, Elige lo q utilizan los expertos…

Descubren instalador de Windows 10 con troyanos

Descubren instalador de Windows 10 con troyanos

Una nueva campaña de malware aprovechó versiones troyanizadas de los archivos de instalación de Windows 10 para realizar actividades posteriores a la explotación. Los archivos ISO maliciosos se distribuyeron a través de sitios web de Torrent.

Mandiant (firma estadounidense de ciberseguridad y una subsidiaria de Google), descubrió el ataque de «socially engineered supply chain» a mediados de julio de 2022.

«Tras la instalación del software comprometido, el malware recopila información sobre el sistema comprometido y lo extrae», dijo la compañía de ciberseguridad en un análisis técnico profundo que realizaron.

El archivo ISO, fue diseñado para deshabilitar la transmisión de datos de telemetría desde la computadora infectada a Microsoft, instalar puertas traseras de PowerShell, así como bloquear actualizaciones automáticas y verificación de licencia.

Las herramientas adicionales que se instalaban son: una herramienta proxy de código abierto, un backdoor liviano que permite al atacante ejecutar comandos, recopilar datos, capturar pulsaciones de teclas y capturas de pantalla, y exportar la información a un servidor remoto.

En algunos casos, el atacante intentó descargar el navegador TOR en el dispositivo de la víctima. Si bien la razón exacta de esta acción no está clara, se sospecha que pudo haber servido como una ruta de exfiltración alternativa.

Para prevenir este tipo de situación es importante aplicar el principio de seguridad informática de la Autenticidad, que nos indica que debemos verificar que la fuente y el archivo en cuestión son auténticos.

Zerobot: malware que explota cerca de 21 vulnerabilidades

Zerobot: malware que explota cerca de 21 vulnerabilidades

A mediados de noviembre se detectó un nuevo malware desarrollado en Go llamado ‘Zerobot’ que usa exploits para cerca de 21 vulnerabilidades en una variedad de dispositivos y software que incluyen phpMyAdmin, routers D-Link, cámaras Hikvisión, entre otros. Desde noviembre ha surgido una nueva versión con módulos adicionales y exploits para nuevas fallas, lo que indica que el malware está en desarrollo activo.

El objetivo del malware es capturar y agregar dispositivos comprometidos a una botnet de denegación de servicio distribuida (DDoS) para lanzar ataques masivos contra objetivos específicos.

Zerobot puede escanear la red y autopropagarse a dispositivos adyacentes, así como ejecutar comandos en Windows (CMD) o Linux (Bash).

El malware puede tener como objetivo una variedad de arquitecturas de sistemas y dispositivos, como ser: i386, AMD64, ARM, ARM64, MIPS, MIPS64, MIPS64le, MIPSle, PPC64, PPC64le, RISC64 y S390x.

Al momento de ser descubierto Zerobot incorporaba exploits para 21 vulnerabilidades y las usaba para obtener acceso al dispositivo. Luego descarga un script llamado «cero», que le permite propagarse a sí mismo.

Zerobot utiliza los siguientes exploits para vulnerar sus objetivos:

CVE-2014-8361: miniigd SOAP service in Realtek SDK
CVE-2017-17106: Zivif PR115-204-P-RS webcams
CVE-2017-17215: Huawei HG532 router
CVE-2018-12613: phpMyAdmin (v. 4.8.x antes de v. 4.8.2)
CVE-2020-10987: Tenda AC15 AC1900 router (v. 15.03.05.19)
CVE-2020-25506: D-Link DNS-320 FW
CVE-2021-35395: Realtek Jungle SDK (v2.x hasta v3.4.14B)
CVE-2021-36260: Alguno equipos Hikvision
CVE-2021-46422: Telesquare SDT-CW3B1 router
CVE-2022-1388: F5 BIG-IP
CVE-2022-22965: Spring MVC y Spring WebFlux (Spring4Shell)
CVE-2022-25075: TOTOLink A3000RU router
CVE-2022-26186: TOTOLink N600R router
CVE-2022-26210: TOTOLink A830R router
CVE-2022-30525: Zyxel USG Flex 100(W) firewall
CVE-2022-34538: MEGApix IP cameras
CVE-2022-37061: FLIX AX8 thermal sensor cameras

Además, la botnet utiliza cuatro exploits a los que no se les ha asignado un identificador (CVE). Dos de ellos apuntan a terminales GPON y enrutadores D-Link, los detalles sobre los otros dos no están claros al momento de redactar escribir este artículo.

¿Cómo funciona Zerobot?

Después de comprometer el dispositivo, Zerobot establece una conexión WebSocket al servidor de Command and Control (C2) y envía información básica sobre la víctima.

El C2 responde con uno de los siguientes comandos:

  • ping – Heartbeat, para verificar la conexión
  • attack – Lanza el ataque por protocolos diferentes: TCP, UDP, TLS, HTTP, ICMP
  • stop – Para el ataque
  • update – Instala, actuaiza y reinicia Zerobot
  • enable_scan – Escanea en busca de puertos abiertos y empieza a propagarse a través de exploits o SSH/Telnet crackers
  • disable_scan – Deshabilita el escaneo
  • command – Ejecuta comandos de S.O. usando CMD en Windows o Bash en Linux
  • kill – Elimina el programa de la botnet

El malware también utiliza un módulo «anti-kill» diseñado para evitar que finalice o elimine su proceso.

Desde su apareción por primera vez el 18 de noviembre, el desarrollador de Zerobot lo ha mejorado con ofuscación de cadenas, un módulo de copia de archivos, un módulo de autopropagación y varios exploits nuevos.

Carrito0
Aún no agregaste productos.
Continuar comprando
0