Los investigadores de ciberseguridad han revelado dos nuevas campañas que publican extensiones de navegador falsas que utilizan anuncios maliciosos y sitios web falsos para robar datos confidenciales.

La campaña de publicidad maliciosa, por Bitdefender , está diseñado para promover la falsificación» Meta verificado «extensiones de navegador denominadas SocialMetrics Pro que afirman desbloquear la insignia de verificación azul para los perfiles de Facebook e Instagram. Se han observado al menos 37 anuncios maliciosos que sirven a la extensión en cuestión.

«Los anuncios maliciosos vienen con un videotutorial que guía a los espectadores a través del proceso de descarga e instalación de la llamada extensión del navegador, que afirma desbloquear la marca azul de verificación en Facebook u otras funciones especiales», dijo el proveedor rumano de ciberseguridad.

Pero, en realidad, la extensión, que está alojada en un servicio en la nube legítimo llamado Box, es capaz de recopilar cookies de sesión de Facebook y enviarlas a un bot de Telegram controlado por los atacantes. También está equipada para obtener la dirección IP de la víctima enviando una consulta a ipinfo [.] io/json.

Se ha observado que algunas variantes del complemento de navegador fraudulento utilizan las cookies robadas para interactuar con la API Graph de Facebook y, probablemente, obtener información adicional relacionada con las cuentas. En el pasado, programas maliciosos como Robador de nodos ha aprovechado la API Graph de Facebook para recopilar los detalles del presupuesto de la cuenta.

El objetivo final de estos esfuerzos es vender valiosas cuentas de Facebook Business y Ads en foros clandestinos con fines de lucro a otros estafadores, o reutilizarlas para impulsar más campañas de publicidad maliciosa, lo que, a su vez, conduce a más cuentas secuestradas, lo que, de hecho, crea un ciclo que se autoperpetúa.

La campaña muestra todas las «huellas dactilares» que normalmente se asocian con De habla vietnamita actores de amenazas, que son conocido a adoptar varios familias de ladrones para atacar cuentas de Facebook y obtener acceso no autorizado a ellas. Esta hipótesis también se ve reforzada por el uso del vietnamita para narrar el tutorial y añadir comentarios sobre el código fuente.

«Al utilizar una plataforma fiable, los atacantes pueden generar enlaces de forma masiva, incorporarlos automáticamente en los tutoriales y actualizar sus campañas de forma continua», afirma Bitdefender. «Esto se ajusta a un patrón más amplio de atacantes que están industrializando la publicidad maliciosa, en la que todo, desde imágenes de anuncios hasta tutoriales, se crea en masa».

La revelación coincide con otra campaña dirigida a anunciantes de Meta con extensiones de Chrome falsas distribuidas a través de sitios web falsificados que se hacen pasar por herramientas de optimización de anuncios impulsadas por inteligencia artificial (IA) para Facebook e Instagram. En el centro de la operación se encuentra una plataforma falsa llamada Madgicx Plus .

«Promocionada como una herramienta para agilizar la gestión de campañas y aumentar el ROI mediante inteligencia artificial, la extensión ofrece funcionalidades potencialmente maliciosas capaces de secuestrar sesiones de negocios, robar credenciales y comprometer las cuentas de Meta Business», dijo Cybereason dijo .

«Las extensiones se promocionan para mejorar la productividad o el rendimiento de los anuncios, pero funcionan como malware de doble propósito capaz de robar credenciales, acceder a los tokens de sesión o permitir el robo de cuentas.

Las extensiones, la primera de las cuales todavía está disponible para su descarga en la Chrome Web Store al momento de escribir este artículo, se enumeran a continuación:

Una vez instalada, la extensión obtiene acceso total a todos los sitios web que visita el usuario, lo que permite a los actores de amenazas inyectar scripts arbitrarios, así como interceptar y modificar el tráfico de la red, monitorear la actividad de navegación, capturar entradas de formularios y recopilar datos confidenciales.

También pide a los usuarios que vinculen sus cuentas de Facebook y Google para acceder al servicio, mientras que su información de identidad se recopila de forma encubierta en segundo plano. Además, los complementos funcionan de manera similar a la extensión falsa Meta Verified antes mencionada, ya que utilizan las credenciales de Facebook robadas a las víctimas para interactuar con la API Graph de Facebook.

«Este enfoque por etapas revela una estrategia clara para los actores de amenazas: primero capturar los datos de identidad de Google y luego pasarlos a Facebook para ampliar el acceso y aumentar las posibilidades de secuestrar valiosos activos comerciales o publicitarios», afirma Cybereason.

¿Te ha parecido interesante este artículo? Síguenos en Noticias de Google , Twitter y LinkedIn para leer más contenido exclusivo que publicamos.