Los ciberataques de NodeStealer en Facebook utilizan publicidad con fotos de mujeres provocativas para secuestrar las cuentas de los usuarios varones que caen en la trampa. Bajo la sugerencia de la descarga de un álbum completo de imágenes, como si fuera una serie de escaparates de ‘barrio rojo’ de Ámsterdam, los avispados ciberdelincuentes han lanzado una campaña de ataques dirigidos a usuarios de Facebook masculinos y mayores de 45.Con ella, a través de una publicidad maliciosa con contenido erótico como gancho, consiguen instalar el malware en los dispositivos utilizados, secuestrar las cuentas y robar toda la información confidencial posible.
Los usuarios afectados de Facebook no han recordado que todo lo que en la red es gratis, es porque en realidad se lo cobran a través de sus datos, incluidos los económicos que pueden acabar provocando robos directos de dinero. Esta estafa de la primera de las redes sociales de Meta ha sido descubierta por el grupo de expertos en ciberataques de la compañía de ciberseguridad Bitdefender, quienes han identificado una campaña de publicidad maliciosa en la plataforma principal que creó Mark Zuckerberg, y que está claramente orientada a los hombres.
FOTOS DE MUJERES ‘SUGERENTES’
Los ciberdelincuentes utilizan anuncios con contenido provocativo de mujeres para secuestrar las cuentas de los usuarios y robar su información personal, introduciendo una nueva versión del ‘malware’ NodeStealer, que ya había sido detectado y descubrieron por Meta en enero de este año. La investigación se ha realizado entre los días 10 y 20 de octubre, mediante la monitorización de la que observaron como «creciente tendencia» entre los atacantes de explotar la tendencia masculina a querer ver contenidos subidos de tono en las redes sociales.
El modus operandi consistía en crear una página de Facebook y utilizar saldos de créditos publicitarios de cuentas de empresas comprometidas. Los atacantes comenzaban a publicar anuncios con contenido falso, pero con la particularidad de que contenía imágenes provocativas de mujeres como gancho para atraer posibles víctimas.
Ni que decir tiene que la campaña estaba dirigida a un público objetivo formado por hombres mayores de 45 años que para ser captados podían ver una publicación de esas cuentas gancho con dos imágenes de mujeres, y la promesa de que podían descargarse el álbum completo de las fotos de esas atractivas y sugerentes féminas.
La trampa era esa supuesta descarga, ya que en cuanto los hombres pinchaban en el enlace para descargar el contenido se les dirigía a un repositorio de BitBucker o Gitlab. Allí, encuentran un ejecutable de Windows que, en realidad, instala una versión reciente del ‘malware’ conocido como NodeStealer en el móvil o el ordenador.
Los atacantes comenzaban a publicar anuncios con contenido falso, pero con la particularidad de que contenía imágenes provocativas de mujeres como gancho para atraer posibles víctimas.
El archivo en concreto se llama «Álbum de fotos.exe» que descarga un segundo ejecutable «.NET». Ambos son archivos de malware que automáticamente se encarga de robar la «cookies» y las contraseñas del navegador para así poder acceder libremente a la cuenta del usuario. Con el malware instalado, los ciberdelincuentes conseguían tener vía libre para apoderarse del perfil de Facebook de esos hombres y accedían directamente a toda la información confidencial que alberga la cuenta.
Una vez dentro de la misma, los atacantes ha cambiado las contraseñas y han agregado medidas de seguridad adicionales, de manera que el verdadero propietario de la cuenta ni puede ver fotos de mujeres en actitud provocativa, ni pueden ya de ninguna manera acceder a su cuenta. Esta queda en manos de los delincuentes que pueden con ella cometer todo tipo de fraudes bajo el nombre del usuario atacado.
En estas últimas campañas analizadas por Bitdefender, los ciberdelincuentes utilizaron un máximo de cinco anuncios activos a la vez, que publicaban con intervalos de 24 horas para así evitar que los afectaros pudieran avisar a otros usuarios del peligro. Con este tipo de campañas, según la investigación a través del seguimiento en la herramienta Meta Ad Library, los delincuentes de la red pueden haber logrado unas 100.000 descargas del ‘malware’. Solo con uno de los anuncios consiguió 15.000 descargas en un solo día.
En la trama están identificadas 10 cuentas comerciales comprometidas que, actualmente, «continúan publicando anuncios maliciosos». Desde Bitdefender advierten que este tipo de ciberataques utilizan «tácticas inteligentes» para las que aprovechan herramientas y operaciones legítimas de publicación online con el fin de infectar el máximo de dispositivos posibles sin que los afectados se den cuenta.
VIGILAR QUÉ CONTAMOS EN FACEBOOK Y OTRAS REDES
NodeStealer fue diseñado con el objetivo de secuestrar sesiones de ‘cookies’ de los navegadores web más comunes, como Google Chrome, Microsoft Edge, Brave y Opera. Con este sistema, los ciberdelincuentes consiguen hacerse con el control de cuentas comerciales, sin necesidad e interactuar con la víctima.
Se trata de un malware relativamente nuevo en el que los actores maliciosos de las redes han continuado «trabajando diligentemente» para equiparlo con nuevas capacidades. Por esa razón los expertos en ciberseguridad recomiendan estar atentos y recelar de la gratuidad de cualquier contenido que sea demasiado atractivo para ser verdad, que estén alerta a nuevas maneras de actuar, y desconfíen de la sugerencia de descarga de álbumes de fotos de Bitbucket, Gitlab o Dropbox.
NodeStealer fue diseñado con el objetivo de secuestrar sesiones de ‘cookies’ de los navegadores web más comunes, como Google Chrome, Microsoft Edge, Brave y Opera
Las plataformas de redes sociales son idóneas para ofrecer esos contenidos siempre «deseados» por determinado grupo de usuarios, tanto que olvidan tener cuidado con los peligros que pueden contener. Nada más atractivo para los titulares de cuentas de Facebook que una atrayente publicidad subida de tono erótico como puerta de entrada de ataques a gran escala contra usuarios que, lógicamente, les pillan desprevenidos.
Pese a que en los últimos cinco años la información sobre los ciberriesgos es constante, la mayor parte de las y las personas que son activos en las redes sociales suelen olvidar que las amenazas maliciosas están presentes en todas las plataformas, y conviene mantenerse informado sobre los métodos más habituales de los delincuentes que actúan online para evitar caer en sus «redes», bien sea atendiendo a ofertas de gratuidad cuestionables, publicidad que ofrecen bueno, bonito y barato, pero siempre teniendo que clicar un enlace cuya dirección no corresponde con la marca anunciada, o teniendo que rellenar todo tipo de datos personales o bancarios para acceder a concursos y privilegios.
