Publicado 19/11/2024 13:32

Portaltic.-Una campaña de publicidad en Facebook suplanta la identidad del gestor de contraseñas Bitwarden para instalar 'malware'

Lofo de Facebook
Lofo de Facebook - UNSPLASH

   MADRID, 19 Nov. (Portaltic/EP) -

Ciberdelincuentes han puesto en marcha campaña de publicidad maliciosa en Facebook que imita la marca del gestor de contraseñas Bitwarden y redirige a las víctimas a una página web que simula ser la tienda de Chrome para instalar 'malware' en sus dispositivos.

   Los expertos de Bitdefender Labs han detectado que, en estos momentos, se ha paralizado su distribición, pero han recomendado a los usuarios de la plataforma propiedad de Meta, a través de la cual se promovía, que se mantengan alerta a anuncios similares.

   Esta campaña, dirigida principalmente a consumidores de entre 18 y 65 años en toda Europa, animaba a los usuarios a instalar de manera urgente una actualización de una extensión del administrador de credenciales Bitwarden que resulta ser fraudulenta.

   Para ello, colocaban anuncios engañosos en Facebook en los que se advertía a los usuarios de que sus contraseñas estaban en riesgo. Al hacer clic en ellos, se ejecutaba 'phishing' para redirigir a los usuarios a una página web falsa diseñada para imitar la tienda web oficial de Chrome.

   Una vez hacían 'clic' en 'Agregar a Chrome', se redirigía a los usuarios a un enlace de Google Drive, que contenía un archivo con formato ZIP con la extensión maliciosa, tal y como han explicado en una publicación en su blog.

   Una vez estaba descargada la presunta extensión de Bitwarden, los ciberdelincuentes incitaban a las víctimas a descomprimir el comentado archivo, acceder a la Configuración de extensiones de Chrome, habilitar el 'Modo desarrollador' y ejecutar la carga manual de la extensión descomprimida.

   Una vez instalada, la extensión solicitaba "amplios permisos" que le permitían interceptar y manipular las actividades 'online' del usuario. Por ejemplo, gracias a ellos se podían modificar solicitudes de red y acceder a las 'cookies' gracias al script 'popup.js'.

   El 'script' background.js', por su parte, podía recopilar datos de IP y geolocalización, extraer infommación de Facebook, como datos personales, cuentas comerciales o tarjetas de crédito. Una vez recogidos todos ellos, se enviaban a una url de Google Script, que actuaba como servidor de comando y control (C2) para los atacantes. Finalmente, la función 'sendData ()' se encargaba de la filtración de datos, codificando y transmitiendo información confidencial.

   Los investigadores han acomnsejado a los usuarios verificar las actualizaciones de extensiones directamente a través de las tiendas oficiales del navegador, en lugar de hacer clic en anuncios o enlaces de terceros.

   También se deben examinar los anuncios patrocinados en redes sociales. Especialmente, aquellos que exigen una acción inmediata o actualizaciones de herramientas de seguridad, así como acceso a 'cookies', entre otros datos.

   Es aconsejable, por otra parte, utilizar una solución de seguridad y usar la configuración de seguridad del navegador, deshabilitando el modo de desarrollador cuando no se esté utilizando para evitar la carga lateral no autorizada de extensiones.

Contador