Ojos: ciberdelincuentes están enviando campañas de ‘phishing’ en Messenger a cuentas comerciales

Ciberdelincuentes han lanzado una campaña a gran escala en el último mes contra las cuentas empresariales de Facebook, empleando para ello la plataforma Messenger, en la que envía mensajes sobre la violación de las políticas del servicio y enlaces con archivos comprimidos infectados que incluyen un ‘script’ capaz de hacerse con las ‘cookies’ y las contraseñas.

Este grupo de atacantes, con sede en Vietnam, habría logrado comprometer miles de empresas y organizaciones a través del servicio de mensajería de Facebook mediante la técnica de ‘phishing’, según han podido comprobar desde Guardio Labs. En los últimos 30 días se ha dirigido principalmente a Norteamérica, Europa y Oceanía.

Estos expertos en ciberseguridad aseguran que el flujo de ataque “es una combinación de técnicas, abuso de plataformas abiertas y libres, así como de numerosos métodos de ofuscación y ocultamiento”, según el informe en el que detallan su funcionamiento.

Para llevar a cabo estas campañas, los ciberdelincuentes envían un mensaje con una ‘url’ a través de Messenger a cuentas de empresas y dueños de negocios. En estos enlaces se les anima a que hagan clic en el archivo adjunto malicioso.

Desde Guardio Labs apuntan a que si bien los contenidos de estos mensajes varían, “todos parecen compartir el mismo contexto” y que estos están relacionados con preguntas relacionadas con un producto que se anuncia en la cuenta comercial o bien con quejas dirigidas a la página por presuntamente violar las políticas de la plataforma.

La ingeniosa técnica con la que operan los criminales

Para pasar desapercibidos, los ciberdelincuentes envían cada mensaje con una serie de variaciones, tanto en el texto como en el tema, así como distintos nombres de archivo, añadiendo caracteres Unicode algunas palabras. De ese modo, evitan ser detectados por soluciones ‘antispam’.

La carga útil maliciosa (project.py) se registra en formatos RAR o ZIP, conteniendo un solo archivo en su interior. Uno de los ‘scripts’ que Guardio Labs detectó mostraba un sistema de lotes, es decir, que se ejecutan línea por línea. Este, a su vez, actuaba como ‘dropper’, un tipo de ‘malware’ que incluye un archivo ejecutable.

De ese modo, el primer archivo descarga otro archivo ZIP, generalmente alojado en una plataforma de código gratuito, como GitHub o GitLab. Este último contiene otro de secuencia de comandos por lotes que se ejecuta directamente y que presenta una codificación particular.

En concreto, el archivo de texto está codificado al principio y al final en UTF-16LE, mientras que la gran mayoría de los caracteres está en código ASCII. Según los analistas, se trata de “un truco inteligente para ocultar contenido por lotes” a escáneres automatizados, lo que evita que se limite el alcance del ataque.

Así, al tratarse de un ‘script’ por lotes, se ejecutan todas las líneas de código, tanto las benignas como las malignas, que usan el entorno de Python para recopilar ‘cookies’ y datos de inicio de sesión, con nombres y contraseñas almacenadas en el navegador de las víctimas.

Una vez registrada la información, se envía en conjunto a un canal de Telegram o Discord usando para ello la interfaz de programación de aplicaciones (API) del ‘bot’ de estas plataformas de comunicación.

Además de robarlas, el ‘script’ malicioso elimina después todas las ‘cookies’, una acción que tiene como resultado la expulsión de las víctimas de sus cuentas. En ese momento, los ciberdelincuentes secuestran sus inicios de sesión y reemplazan las contraseñas para hacerse con ellas.

Desde la compañía de ciberseguridad han apuntado que los ciberdelincuentes poseen “un ejército de ‘bots’ y cuentas falsas”, así como una lista formada por millones de cuentas y páginas administradas por empresas, que les permite enviar más de 100.000 mensajes de ‘phishing’ en todo el mundo a la semana.

Es más, según sus estadísticas, del total de cuentas de empresas en Facebook, al menos un 7 por ciento recibieron estas comunicaciones infectadas en los últimos 30 días y alrededor del 0,4 por ciento de ellas descargó el archivo malicioso adjunto, de modo que una de cada 250 cuentas finalmente fueron infectadas.

El investigador de Ciberseguridad de Guardio Oleg Zaytsev apunta, además, que el ratio de éxito de este campaña es de una de cada 70 cuentas infectadas, entendiendo que para el robo de las credenciales y de la cuenta los usuarios todavía tienen que ejecutar el archivo descargado.

*Con información de Europa Press