Pronostican robo de cuentas comerciales de Facebook
Morphisec, proveedor de soluciones de seguridad con sede en Israel, informó que un malware avanzado bajo el nombre de SYS01, tiene como objetivo robar el acceso a las cuentas comerciales de Facebook y las credenciales de los navegadores basados en Chromium. El investigador de Morphisec comprobó cómo el malware SYS01 ataca a empleados de infraestructuras gubernamentales críticas, empresas de fabricación y otras industrias.
El ataque de malware SYS01 comienza invitando a la víctima para que haga clic en una URL de un perfil falso de Facebook, un anuncio o un enlace a transmisiones en vivo, aplicaciones gratuitas, películas o juegos. Cuando el usuario hace clic en el señuelo, comienza la descarga de un archivo ZIP.
El archivo ZIP contiene una parte del cargador y una carga útil final. La parte del cargador consta de una aplicación legítima que es vulnerable a la carga lateral de DLL . Una vez que la víctima ejecuta el archivo legítimo, carga silenciosamente una primera carga contenida en un archivo DLL contenido en la misma carpeta que la aplicación legítima.
Según el especialista de Morphisec, Arnold Osipov, el cargador puede ser cualquier tipo de archivo ejecutable, como los ejecutables de Rust y Python. Sin embargo, el comportamiento es siempre el mismo cuando se ejecuta: ejecuta el código de un archivo DLL malicioso contenido en el archivo ZIP.
MÁS INFORMACIÓN: Aniversario de Facebook: sepa cómo evolucionó y las polémicas de la red social
Para empezar, el archivo ZIP puede contener la carga útil necesaria de la segunda etapa. Si no está en el archivo ZIP, es probable que la carga útil de la segunda etapa se descargue de un servidor C2 controlado por un atacante antes de decodificarse y ejecutarse.
El malware comprueba si el usuario tiene una cuenta de Facebook. Si el usuario ha iniciado sesión en esa cuenta, el malware consulta la interfaz de programación de aplicaciones gráficas de Facebook para obtener un token y roba toda la información de Facebook de la víctima. Toda la información robada se extrae a un servidor C2.
La instalación de prueba de DLL es posible debido al orden de búsqueda de DLL implementado en Microsoft Windows. Algunos desarrolladores tienen este problema cuando programan su software y crean código que específicamente no es vulnerable a esta técnica.
Morphisec señaló que la mayoría de los programadores no tienen en cuenta la seguridad al desarrollar, por lo que las empresas deben agregar más protección contra esa técnica. (J.F.C.R.)
SEGUIR LEYENDO:
Recomiendan herramientas digitales para el retorno a clases
Nuevo software para sostenibilidad y tecnología para empresas
Artículos para videojuegos en el Tech Week
Mira más contenidos siguiéndonos en Facebook, Twitter, Instagram, TikTok y únete a nuestro grupo de Telegram para recibir las noticias del momento.