Así son los ciberataques de NodeStealer en Facebook: utilizan publicidad provocativa para secuestrar las cuentas

Un grupo de ciberdelincuentes está lanzando una campaña de ataques dirigidos a usuarios masculinos de Facebook, en la que, a través de publicidad maliciosa con contenido sexual como gancho, acaban instalando el 'malware' NodeStealer en sus dispositivos, secuestrando sus cuentas y robando su información confidencial.

Las plataformas de redes sociales ofrecen acceso a múltiples contenidos, sin embargo, también son una puerta de entrada para ataques a gran escala contra usuarios desprevenidos.

Advertencia de los expertos de Bitdefender

De hecho, las amenazas maliciosas están presentes en todas las redes sociales, por lo que es conveniente mantenerse informado de los últimos métodos de ataque de los ciberdelincuentes, de cara a evitar comprometer la seguridad de las cuentas, los datos personales e, incluso, evitar robos de dinero.

Así lo ha detallado el grupo de expertos en ciberataques de la compañía de ciberseguridad Bitdefender, quienes han identificado una campaña de publicidad maliciosa, concretamente en Facebook y dirigida a público masculino, que utiliza anuncios con contenido provocativo de mujeres para secuestrar las cuentas de los usuarios y robar su información personal, introduciendo una nueva versión del 'malware' NodeStealer.

En el periodo en el que se ha llevado a cabo la investigación -del 10 al 20 de octubre- se ha monitorizado la "creciente tendencia" entre los ciberdelincuentes de explotar activamente las redes sociales para utilizar publicidad maliciosa.

Según han detallado, en este caso, su 'modus operandi' se basa en crear una página en Facebook y utilizar saldos de crédito publicitario de cuentas de empresas comprometidas. Así, los actores maliciosos comienzan a publicar anuncios que promocionan contenido falso, en este caso, con imágenes provocativas de mujeres como gancho para atraer a las posibles víctimas.

De hecho, tal y como han detallado desde Bitdefender, se trata de una campaña dirigida a un público objetivo conformado por hombres mayores de 45 años. En este sentido, para captarlos, las cuentas de Facebook publican dos imágenes de mujeres y se les anima a descargarse el álbum completo de dichas fotos.

Sin embargo, cuando el usuario pincha en enlace para descargar el contenido, se le dirige a un repositorio de BitBucker o Gitlab. Allí, encuentran un ejecutable de Windows que, en realidad, instala una versión reciente del 'malware' conocido como NodeStealer en el dispositivo.

Se trata de un archivo llamado 'Álbum de fotos.exe' que, además, también descarga un segundo ejecutable '.NET'. Con estos archivos el 'malware' se encarga de robar las 'cookies' y contraseñas del navegador para poder acceder a la cuenta del usuario.

Una vez el 'malware' está instalado, los ciberdelincuentes tienen vía libre para apoderarse de la cuenta de Facebook del usuario desde la que se ha pinchado en el enlace y, por tanto, pueden acceder a la información confidencial contenida en la cuenta.

Incluso, una vez han accedido, los atacantes intentan cambiar las contraseñas y agregar medidas de seguridad adicionales para cesar por completo el acceso del propietario legítimo a su cuenta y, así, poder utilizarla para, por ejemplo, cometer delitos de fraude.

En las múltiples campañas de publicidad maliciosas, los actores maliciosos utilizaron un máximo de cinco anuncios activos a la vez y, además, los publicaban con intervalos de 24 horas para evitar que los usuarios afectados pudieran avisar a otros usuarios.

Logran 15.000 descargas en tan sólo un día

Según el estudio, se ha estimado que con este tipo de campañas los ciberdelincuentes pueden lograr unas 100.000 descargas del 'malware'. Tanto es así que, tal y como pudieron comprobar los expertos con uno de los anuncios analizados, se consiguieron 15.000 descargas en tan solo 24 horas. Estos datos han sido obtenidos por Bitdefender mediante el seguimiento de los anuncios en Meta Ad Library.

De hecho, también han contabilizado al menos 10 cuentas comerciales comprometidas que, actualmente, "continúan publicando anuncios maliciosos" en Facebook.

Por todo ello, los expertos en ciberseguridad de Bitdefender han advertido que los actores maliciosos "están utilizando cada vez con más frecuencia tácticas inteligentes", de manera que sacan provecho de herramientas y operaciones legítimas de publicidad 'online' para acabar infectando los dispositivos de los usuarios sin que estos se den cuenta.

Se ha de tener en cuenta que NodeStealer es un 'malware' que fue descubierto por Meta en enero de este año y que se diseñó con el objetivo de secuestrar sesiones de 'cookies' de los navegadores web más comunes, como Google Chrome, Microsoft Edge, Brave y Opera. De esta forma, los ciberdelincuentes consiguen hacerse con el control de cuentas comerciales, sin necesidad e interactuar con la víctima.

Sin embargo, al tratarse de un 'malware' "relativamente nuevo", desde Bitdefender han avisado de que los actores maliciosos han continuado "trabajando diligentemente" para equipar el 'malware' con nuevas capacidades.

Por ello, los expertos recomiendan a los usuarios mantenerse alerta ante la posible aparición de nuevas formas de actuar y, sobre todo, desconfiar de los anuncios que "sugieran la descarga de álbumes de fotos de Bitbucket, Gitlab o Dropbox". Asimismo, también han aconsejado utilizar una solución de seguridad en su dispositivo "siempre actualizada".