Atacantes están secuestrando páginas de Facebook para atraer a las víctimas para que descarguen un editor de fotos con inteligencia artificial (IA) legítimo, pero luego ofrecen un ladrón de información ampliamente distribuido para robar a los usuarios sus credenciales.

La campaña de publicidad maliciosa, descubierta por investigadores de Trend Micro, explota la popularidad de la IA y combina una variedad de tácticas de amenaza populares, que incluyen el phishing, la ingeniería social y el uso de una utilidad legítima de forma maliciosa. El último de los ataques es el ladrón Lumma, que se dirige a información confidencial, incluidas las credenciales de usuario, los detalles del sistema, los datos del navegador y las extensiones.

El ataque se basa en el abuso de las promociones pagadas de Facebook, que los atacantes han aprovechado para atraer a los usuarios a la participación y, en última instancia, entregar malware, señalaron los investigadores en una publicación de blog hoy.

Los atacantes también están aprovechando la atención actual en la tecnología de inteligencia artificial y las herramientas asociadas con ella al usar estas herramientas “como señuelos para actividades maliciosas, que incluyen estafas de phishing, deepfakes y ataques automatizados”, escribió.

Hasta ahora, el paquete malicioso asociado con la campaña ha generado alrededor de 16.000 descargas en Windows y 1.200 en macOS. Sin embargo, la versión para macOS redirecciona al sitio web de Apple en lugar de a un sitio controlado por el atacante, lo que sugiere que los atacantes solo están apuntando a los usuarios de Windows con la campaña.

Un ataque típico en la campaña comienza antes de que una víctima potencial vea un anuncio. Los atacantes comienzan enviando mensajes de phishing a los propietarios de la página de redes sociales atacada para obtener el control de la página para su propio uso malicioso. La cuenta del remitente generalmente parece un perfil vacío con nombres de usuario generados aleatoriamente.

Los enlaces de phishing en los mensajes se envían como enlaces directos o páginas de enlaces personalizados, como linkup.top, bio.link, s.id y linkbio.co, entre otros. A veces, los atacantes incluso abusan de la URL de redireccionamiento abierta de Facebook para que estos enlaces parezcan más legítimos.

Si el operador de la página hace clic en los enlaces, se le presenta una pantalla para verificar su información con un “Centro de soporte comercial” para desarrolladores de Meta. Al hacer clic en el enlace “Verifique su información aquí” de esa pantalla, se accede a una página de protección de cuenta falsa, “que en varios pasos posteriores solicita a los usuarios la información necesaria para iniciar sesión y hacerse cargo de su cuenta, como su número de teléfono, dirección de correo electrónico, fecha de nacimiento y contraseña”, explicó Horejsi.

Después de que el objetivo proporciona esta información, el atacante roba el perfil y comienza a crear y publicar anuncios maliciosos para un editor de fotos con inteligencia artificial con enlaces a un dominio falso que usa el nombre de una herramienta legítima, como Evoto.

Sin embargo, lo que un usuario que muerde el anzuelo descarga en realidad es el software de gestión de puntos finales de ITarian, disponible de forma gratuita. El atacante, mediante una serie de controles de procesos de back-end, en última instancia controla la máquina de la víctima para descargar la carga útil final, el ladrón de Lumma.

Existen varias formas de evitar ser víctimas de las campañas y amenazas que abusan de las páginas de redes sociales, que no solo pueden comprometer a los usuarios, sino que también pueden provocar ataques secundarios a través de credenciales robadas que actúan como entrada inicial a la infraestructura de la empresa, según Trend Micro.

Los usuarios de redes sociales deben habilitar la autenticación multifactor en todas sus cuentas para agregar una capa adicional de protección contra el acceso no autorizado, así como actualizar y usar contraseñas seguras y únicas en todas las cuentas.

Las organizaciones también deben practicar regularmente la educación y la concienciación para informar a sus empleados sobre los peligros que acechan en las redes sociales mientras acceden a las redes corporativas, así como también cómo identificar mensajes y enlaces sospechosos asociados con ataques de phishing.

Finalmente, tanto las organizaciones como los usuarios individuales deben monitorear sus cuentas para detectar cualquier comportamiento inusual, como intentos de inicio de sesión inesperados o cambios en la información de la cuenta. Las organizaciones deben emplear algún tipo de mecanismos de detección y respuesta.

Info – Ciberseguridad Latam