Anuncios falsos de intercambio de criptomonedas en Facebook propagan malware

Bitdefender expone estafas publicitarias de Facebook que utilizan sitios de criptomonedas falsos y señuelos de celebridades para propagar malware mediante clientes de escritorio maliciosos y scripts de PowerShell.

Una campaña de malware persistente está explotando la red publicitaria de Facebook para atacar a los entusiastas de las criptomonedas, revelaron hoy investigadores de seguridad de Bitdefender.

La operación aprovecha los nombres confiables de los principales intercambios de criptomonedas como Binance y TradingView, e imágenes de celebridades como Elon Musk y Zendaya en anuncios de Facebook para dar credibilidad a las promociones falsas de intercambio de criptomonedas y atraer a usuarios desprevenidos a descargar software malicioso.

La investigación de Bitdefender, compartida con Hackread.com antes de su publicación, encontró un ataque de múltiples capas que distribuye malware a través de un canal de comunicación encubierto entre el sitio web y la computadora de la víctima.

Según los investigadores, los ciberdelincuentes secuestran cuentas de Facebook o crean cuentas falsas para publicar anuncios engañosos que prometen ganancias financieras rápidas o bonos en criptomonedas. Al hacer clic en estos anuncios, las víctimas son redirigidas a sitios web convincentes pero fraudulentos que imitan plataformas legítimas de criptomonedas, instándolas a descargar un cliente de escritorio.

Al descargarse, el cliente de escritorio instala un archivo DLL malicioso que inicia un servidor local basado en .NET en el equipo de la víctima. Este servidor actúa como un centro C2 oculto. La interfaz del sitio web falso contiene un script desofuscado que se comunica con el servidor, envía consultas WMI (Instrumental de Administración de Windows) y le ordena ejecutar cargas maliciosas.

La etapa final suele implicar la ejecución de múltiples scripts codificados de PowerShell, que descargan malware adicional desde servidores remotos. Además, los atacantes implementan comprobaciones avanzadas anti-sandbox, lo que garantiza que el malware solo se distribuya a usuarios que cumplen con perfiles demográficos y de comportamiento específicos que los ciberdelincuentes consideran valiosos.

El investigador de Bitdefender, Ionut Baltariu, destacó que a los usuarios sin parámetros específicos de seguimiento de anuncios de Facebook, a los que no han iniciado sesión en Facebook o a aquellos con direcciones IP o sistemas operativos poco interesantes también se les muestra contenido inofensivo. Este enfoque selectivo permite a los atacantes maximizar su impacto y minimizar la exposición al análisis de seguridad.

La magnitud de la operación es significativa, ya que los investigadores han identificado cientos de cuentas de Facebook que promocionan activamente estas páginas maliciosas. En un caso, una sola página publicó más de 100 anuncios en tan solo 24 horas.

Aunque Facebook suele eliminar estos anuncios fraudulentos , muchos acumulan miles de visualizaciones antes de ser eliminados. La segmentación suele ser muy precisa, y en un caso se centró en hombres mayores de 18 años en Bulgaria y Eslovaquia.

Para añadir más engaño, los atacantes incluso han creado páginas falsas de Facebook que imitan a la perfección las páginas oficiales de plataformas como TradingView, con publicaciones y comentarios falsos que promocionan sorteos falsos. Sin embargo, los enlaces integrados en estas páginas falsas conducen directamente a los sitios web que distribuyen el malware.

El papel continuo de Facebook como vector para la distribución de malware es difícil de pasar por alto, ya que hallazgos anteriores, incluido el descubrimiento de hoy de Morphisec, que muestra que los cibercriminales han estado usando anuncios engañosos de Facebook que promueven plataformas de inteligencia artificial falsas para distribuir el nuevo Noodlophile Stealer .

También muestra cómo los ciberdelincuentes explotan el alcance de la plataforma y las capacidades publicitarias con fines maliciosos, lo que enfatiza la necesidad de vigilancia por parte de los usuarios y de mejoras en la seguridad de la plataforma.

Bitdefender recomienda a los usuarios tener cuidado con los anuncios en línea, utilizar herramientas de verificación de estafas y enlaces, mantener actualizado el software de seguridad y denunciar anuncios sospechosos en Facebook para mantenerse protegidos.