Investigadores de Trustwave advirtieron sobre una nueva campaña de publicidad maliciosa en Facebook que utiliza como gancho anuncios para descargar temas de escritorio de Windows, así como juegos y 'software' pirateados, que terminan activando un malware en el equipo.
Este malware ya fue descubierto por la compañía de ciberseguridad Morphisec en noviembre de 2022 y se llama SYS01: se utiliza para robar información de cuentas comerciales de Facebook, ya que extrae datos del navegador como:
En líneas generales, el SYS01 se basa en archivos Zip maliciosos disfrazados con contenido para adultos. No obstante, en esta nueva campaña los ciberdelincuentes cambiaron su contenido para llamar la atención con anuncios que llegan a más usuarios de forma general.
La campaña se encuentra activa desde septiembre de 2023 y continúa vigente. Su modus operandi consiste en promocionar anuncios falsos a través de páginas de Facebook, ya sea creadas especialmente para esta tarea o mediante el secuestro de páginas previamente existentes.
En este último caso, los actores maliciosos cambian el nombre de la página para adaptarse al tema que vayan a anunciar. Los anuncios falsos se utilizan como reclamo para engañar a los usuarios y conseguir que descarguen el 'malware'.
Para esto, promocionan asuntos de interés general, como por ejemplo la descarga de juegos o 'software' pirateados o aplicaciones conocidas como Photoshop y Microsoft Office.
Una vez que clickea en el anuncio, el usuario llega a una página web que se encuentra en Google Sites o True Hosting donde, supuestamente, debe descargar el contenido ofertado en el anuncio. Sin embargo, lo que descarga realmente es un archivo ZIP con el nombre del elemento del anuncio.
Para darse cuenta de la presencia de este malware, es importante saber que los archivos suelen tener nombres como 'Awesome_Themes_for_Win_10_11.zip' para los temas de Windows, o 'Adobe_Photoshop_2023.zip' para las supuestas descargas de Photoshop.
Los archivo ZIP descargan el 'malware' SYSO1, que utiliza ejecutables DLL, 'scripts' de PowerSell y 'scripts' PHP para instalar el 'malware' y robar datos del ordenador donde se haya instalado.
Específicamente, con el 'script' de PowerShell se evita la detección del 'malware', ya que permite que se ejecute en un entorno virtualizado.