Una nueva modalidad de estafa está creando dolores de cabeza a los usuarios de Facebook.
Ciberdelincuentes han puesto en marcha campaña de publicidad maliciosa en Facebook que imita la marca del gestor de contraseñas Bitwarden y redirige a las víctimas a una página web que simula ser la tienda de Chrome para instalar ‘malware’ en sus dispositivos.
Los expertos de Bitdefender Labs han detectado que, en estos momentos, se ha paralizado su distribución, pero han recomendado a los usuarios de la plataforma propiedad de Meta, a través de la cual se promovía, que se mantengan alerta a anuncios similares.
Esta campaña, dirigida principalmente a consumidores de entre 18 y 65 años en toda Europa, animaba a los usuarios a instalar de manera urgente una actualización de una extensión del administrador de credenciales Bitwarden que resulta ser fraudulenta.
Los ciberdelincuentes buscaban robar todo tipo de datos con esta acción. | Foto: Getty Images/Image Source
Para ello, colocaban anuncios engañosos en Facebook en los que se advertía a los usuarios de que sus contraseñas estaban en riesgo. Al hacer clic en ellos, se ejecutaba ‘phishing’ para redirigir a los usuarios a una página web falsa diseñada para imitar la tienda web oficial de Chrome.
Tendencias
Una vez hacían ‘clic’ en ‘Agregar a Chrome’, se redirigía a los usuarios a un enlace de Google Drive, que contenía un archivo con formato ZIP con la extensión maliciosa, tal y como han explicado en una publicación en su blog.
Una vez estaba descargada la presunta extensión de Bitwarden, los ciberdelincuentes incitaban a las víctimas a descomprimir el comentado archivo, acceder a la Configuración de extensiones de Chrome, habilitar el ‘Modo desarrollador’ y ejecutar la carga manual de la extensión descomprimida.
Una vez instalada, la extensión solicitaba “amplios permisos” que le permitían interceptar y manipular las actividades ‘online’ del usuario. Por ejemplo, gracias a ellos se podían modificar solicitudes de red y acceder a las ‘cookies’ gracias al script ‘popup.js’.
El ‘script’ background.js’, por su parte, podía recopilar datos de IP y geolocalización, extraer información de Facebook, como datos personales, cuentas comerciales o tarjetas de crédito. Una vez recogidos todos ellos, se enviaban a una URL de Google Script, que actuaba como servidor de comando y control (C2) para los atacantes. Finalmente, la función ‘sendData ()’ se encargaba de la filtración de datos, codificando y transmitiendo información confidencial.
Los anuncios aparecían en la red social de Facebook. | Foto: SOPA Images/LightRocket via Gett
Los investigadores han aconsejado a los usuarios verificar las actualizaciones de extensiones directamente a través de las tiendas oficiales del navegador, en lugar de hacer clic en anuncios o enlaces de terceros.
También se deben examinar los anuncios patrocinados en redes sociales. Especialmente, aquellos que exigen una acción inmediata o actualizaciones de herramientas de seguridad, así como acceso a ‘cookies’, entre otros datos.
Es aconsejable, por otra parte, utilizar una solución de seguridad y usar la configuración de seguridad del navegador, deshabilitando el modo de desarrollador cuando no se esté utilizando para evitar la carga lateral no autorizada de extensiones.
Este tipo de acciones han ganado gran popularidad en el último tiempo, los delincuentes se han reinventado con el objetivo de engañar a sus víctimas para, de esta manera, robarles los datos y hasta desocuparles las cuentas bancarias. Por esta razón, las autoridades han pedido a los usuarios estar muy alertas ante cualquier aspecto raro que noten en las redes sociales.
*Con información de Europa Press