SilentFade: El Malware Que Defraudó 4 Millones De Dólares De Anunciantes De Facebook
Facebook ha publicado recientemente un informe técnico en el que detalla los pormenores de un ataque originado en 2016 y que se ha prolongado años, en el que se han defraudado unos 4 millones de dólares de cuentas de anunciantes de la plataforma.
Denominado SilentFade (Silently running Facebook Ads with Exploits), el malware comprometía cuentas de usuario de Facebook y las utilizaba para el robo de cuentas y fraude en anuncios. La multinacional ha desvelado que la campaña de malware, de origen chino, comenzó en 2016 y no fue descubierta hasta finales de 2018. Fue desmantelada tras una larga investigación, que ha terminado con acciones legales contra los responsables de la misma.
Según indica la compañia, el malware no era descargado o instalado utilizando Facebook u otros productos de la compañia, sino que se distribuía con otras descargas de dudosa reputación. En este caso, los investigadores creen que el malware se diseminó a través de copias piratas de software comercial.
Una vez instalado, SilentFade robaba las credenciales y cookies de sesión de Facebook de distintos navegadores, incluyendo Internet Explorer, Chrome y Firefox. Las cookies son más valiosas que las contraseñas en determinadas circunstancias, ya que contienen tokens de sesión que se generan después de la autenticación en la plataforma. Esto le permitía comprometer cuentas aunque estuviesen protegidas con doble factor de autenticación (2FA).
El malware implementaba mecanismos de persistencia mediante un servicio de windows, a la vez que realizaba técnicas de DLL hijacking. Escribía una DLL maliciosa en el directorio de aplicación de Chrome (winhttp.dll), que era cargada por el navegador en lugar de la versión del sistema. De esta forma, actuaba a modo de proxy, reenviando las peticiones realizadas por la aplicación legítima, a la vez que que realizaba sus funciones propias, permitiéndole pasar inadvertido para los sistemas anti-malware basados en comportamiento.
Tras el robo de credenciales y cookies, éstas eran enviadas a un servidor de control (C2), junto con información adicional recuperada de los servidores de Facebook, para su posterior uso por los atacantes. Destaca el uso de la geolocalización de la víctima, de forma que las subsiguientes interacciones de los atacantes con los servidores de Facebook se originasen dentro de la misma ciudad, evitando ser detectados por controles de seguridad que implementa la plataforma.
La compañía anticipa la aparición de más malware orientado a plataformas con gran base de usuarios, siendo la educación de los usuarios en materia de seguridad un pilar clave para combatirlos.
Referencias
https://threatpost.com/silentfade-attack-facebook/159780/
https://vblocalhost.com/conference/presentations/silentfade-unveiling-chinese-malware-abusing-facebook-ad-platform/
Via: unaaldia.hispasec.com