Los investigadores de ciberseguridad han revelado dos nuevas campañas que sirven extensiones falsas del navegador utilizando anuncios maliciosos y sitios web falsos para robar datos confidenciales.
La campaña de malvertimiento, per bitdefender, está diseñada para presionar las extensiones del navegador “meta verificadas” falsas nombradas SocialMetrics Pro Ese afirma desbloquear la insignia de cheques azules para los perfiles de Facebook e Instagram. Se han observado al menos 37 anuncios maliciosos que sirven la extensión en cuestión.
“Los anuncios maliciosos están incluidos con un tutorial de video que rumbo a los espectadores a través del proceso de descarga e instalación de una señal extensión del navegador, que afirma desbloquear la marca de demostración azur en Facebook u otras características especiales”, dijo el proveedor de ciberseguridad rumano.
Pero, en existencia, la extensión, que está alojada en un servicio de montón cierto llamado Box, es capaz de resumir cookies de sesión de Facebook y enviarlas a un bot de telegrama controlado por los atacantes. Incluso está equipado para obtener la dirección IP de la víctima enviando una consulta a ipinfo (.) IO/JSON.
Se han observado variantes seleccionadas del complemento del navegador Rogue utilizando las cookies robadas para interactuar con la API del croquis de Facebook para obtener información adicional relacionada con las cuentas. En el pasado, Malware como Nodestealer ha estudioso la API del croquis de Facebook para resumir detalles del presupuesto de la cuenta.
El objetivo final de estos esfuerzos es traicionar valiosas cuentas de negocios y anuncios de Facebook en foros subterráneos con fines de utilidad para otros estafadores, o reutilizarlos para impulsar campañas más malvertidas, lo que, a su vez, conduce a cuentas más secuestradas, creando efectivamente un ciclo autoperpetuante.
La campaña exhibe todas las “huellas dactilares” típicamente asociadas con actores de amenaza de deje vietnamita, que se sabe que adoptan varias familias de Stealer para atacar y obtener acercamiento no calificado a las cuentas de Facebook. Esta hipótesis igualmente se ve reforzada por el uso de vietnamitas para relatar el tutorial y adicionar comentarios del código fuente.
“Al usar una plataforma de confianza, los atacantes pueden ocasionar enlaces en masa, incrustarlos automáticamente en tutoriales y desempolvar continuamente sus campañas”, dijo Bitdefender. “Esto se ajusta a un patrón más ilustre de atacantes que industrializan la malvertición, donde todo, desde imágenes de anuncios hasta tutoriales, se crea en masa”.
La divulgación coincide con otra campaña que se dirige a meta anunciantes con extensiones de cromo deshonestas distribuidas a través de sitios web falsificados que se hacen sobrevenir por herramientas de optimización de anuncios de inteligencia químico (IA) para Facebook e Instagram. En el corazón de la operación hay una plataforma falsa nombrada Madgicx Plus.
“Promocionado como una aparejo para racionalizar la administración de la campaña y aumentar el ROI utilizando inteligencia químico, la extensión ofrece funcionalidades potencialmente maliciosas capaces de secuestrar sesiones comerciales, robar credenciales y comprometer cuentas meta comerciales”, dijo Cyberazon.
“Las extensiones se promueven como productores de productividad o rendimiento de AD, pero operan como malware de doble propósito capaz de robar credenciales, penetrar a tokens de sesión o habilitar la adquisición de la cuenta.
Las extensiones, la primera de las cuales todavía están disponibles para descargar desde la tienda web de Chrome a partir de la escritura, se enumeran a continuación –
Una vez instalado, la extensión obtiene acercamiento completo a todos los sitios web que el agraciado recepción, lo que permite a los actores de amenaza inyectar scripts arbitrarios, así como interceptar y modificar el tráfico de red, monitorear la actividad de navegación, capturar entradas de formulario y recoger datos confidenciales.
Incluso solicita a los usuarios que vinculen sus cuentas de Facebook y Google para penetrar al servicio, mientras que su información de identidad se cosecha encubiertamente en segundo plano. Encima, la función complementaria de modo similar a la extensión meta verificada falsa mencionada anteriormente en que usa las credenciales de Facebook robadas de las víctimas para interactuar con la API del croquis de Facebook.
“Este enfoque escenificado revela una clara táctica de amenazas: capturar primero los datos de identidad de Google y luego pivotar a Facebook para ampliar el acercamiento y aumentar las posibilidades de secuestrar valiosos activos comerciales o publicitarios”, dijo Cyberazon.
