Robo de 615 000 credenciales mediante anuncios de Facebook

Para hacerse con las credenciales de inicio de sesión de las víctimas.

La empresa de seguridad ThreatNix ha detectado una nueva campaña a gran escala que se basa en el uso de anuncios de Facebook para redirigir a las víctimas a cuentas de Github donde se aloja el kit de phishing con el que robarles las credenciales de inicio de sesión. Entre los países afectados se destacan: Egipto, Filipinas, Pakistán y Nepal.

Las páginas de destino se hacen pasar por empresas legítimas con el objetivo de engañar a las víctimas y que introduzcan sus credenciales de inicio de sesión. Las credenciales capturadas son enviadas a través de una base de datos de Firestore y un dominio alojado en GoDaddy.

Entre los anuncios fraudulentos identificados se halla, por ejemplo, una publicación patrocinada en Facebook que ofrece 3 GB de datos móviles de Nepal Telecom. La campaña emplea publicaciones y páginas de Facebook que imitan a organizaciones legítimas y anuncios dirigidos a países específicos. Para evitar la detección por parte de Facebook, los atacantes emplean una URL abreviada de Bitly que inicialmente apunta a una página inocua, para modificarla una vez haya sido aprobado el anuncio.

Se estima que el grupo atacante ha usado alrededor de 500 repositorios de Github para esta campaña de phishing, algunas de las cuales ya han sido desactivadas. La primera página de phishing se estima que fue creada en GitHub hace 5 meses. El equipo de investigación ha localizado las credenciales, y ha descubierto que la base de datos está creciendo a un rápido ritmo de aproximadamente 100 entradas nuevas por minuto.

No es la primera vez que Facebook sufre un ciberataque de fraude publicitario, por ejemplo, en octubre, identificó uno que había estado activo desde 2016. En este ciberataque, se utilizó un malware de origen chino que les permitió desviar 4 millones de dólares de las cuentas publicitarias de los usuarios. Los atacantes se hicieron con las cuentas de Facebook, luego las usaron para robar las cookies del navegador, y finalmente, realizar actividades maliciosas como la promoción de anuncios fraudulentos.