Se ha descubierto un nuevo malware que secuestra las cuentas de redes sociales de las personas, roba sus credenciales de inicio de sesión guardadas y usa sus dispositivos para extraer criptomonedas, advirtieron los expertos.
Los investigadores del Equipo de Control Avanzado de Amenazas (ATC) de Bitdefender encontraron una nueva variedad a la que llamaron S1deload Stealer que intenta evitar ser detectado por los programas antivirus mediante un uso intensivo de la carga lateral de DLL.
En la segunda mitad del año pasado, los piratas informáticos detrás de la campaña lograron infectar cientos de puntos finales (se abre en una pestaña nueva) con este nuevo infostealer:
Cientos de dispositivos infectados
«Entre julio y diciembre de 2022, los productos de Bitdefender detectaron más de 600 usuarios únicos infectados con este malware», señaló el investigador de Bitdefender, Dávid Ács.
Para infectar los dispositivos, las víctimas necesitan descargar y ejecutar el malware ellos mismos. Los atacantes crearon múltiples archivos (archivos .zip) supuestamente con contenido para adultos. Aquellos que descarguen y ejecuten ese contenido no obtendrán lo que buscaban, sino que obtendrán el ladrón de información, capaz de hacer un par de cosas:
Primero, puede descargar y ejecutar un navegador Chrome sin cabeza que se ejecuta en segundo plano y abre diferentes videos de YouTube y publicaciones de Facebook para obtener vistas. Puede descargar y ejecutar un ladrón de información que descifra y filtra las credenciales de inicio de sesión guardadas en los navegadores, así como las cookies de sesión.
Si se topa con una cuenta de Facebook, intentará analizarla para ver si administra páginas o grupos de Facebook, si paga anuncios en la plataforma o si está vinculado a una cuenta de administrador comercial. Obviamente, todas estas cosas harían que esa cuenta fuera más valiosa.
Finalmente, puede descargar, instalar y ejecutar un minero de criptomonedas, extrayendo la criptomoneda BEAM para los atacantes. BEAM se describe a sí mismo como una «plataforma confidencial de criptomonedas y DeFi».
«El componente ladrón que observamos en la naturaleza roba las credenciales guardadas del navegador de la víctima, exfiltrándolas al servidor del autor del malware», dijo Ács. «El autor del malware usa las credenciales recién obtenidas para enviar spam a las redes sociales e infectar más máquinas, creando un circuito de retroalimentación».
Vía: BleepingComputer (se abre en una pestaña nueva)