Los investigadores de seguridad de Bitdefender han descubierto un nuevo malware dirigido a los usuarios de Facebook y YouTube. Esta campaña de malware, llamada S1ideload Stealer, roba las credenciales guardadas de los dispositivos infectados e intenta secuestrar las cuentas de redes sociales del usuario. También utiliza el dispositivo para extraer criptomonedas.
Según el equipo de control avanzado de amenazas (ATC) de Bitdefender, los actores de amenazas detrás de esta campaña están utilizando comentarios de ingeniería social, Facebook y YouTube para engañar a los usuarios para que descarguen el malware en sus computadoras. Introducen un ejecutable legítimo firmado digitalmente en archivos comprimidos (archivos .zip) que normalmente vienen con nombres de adultos.
El archivo ejecutable en sí tiene el mismo nombre. Pero no contiene lo que esperan quienes lo descargan. En cambio, carga código malicioso en el momento en que hacen clic en él.
S1ideload Stealer se basa en técnicas de carga lateral de DLL para evitar la detección por parte del antivirus de la computadora y otros sistemas de defensa, de ahí el nombre. Una vez que el malware está activo, se conecta al servidor de comando y control (C2) para que los actores de amenazas puedan enviarle comandos de forma remota.
Tal como lo describe Bitdefender, el malware puede descargar y ejecutar un navegador Chrome sin interfaz gráfica de usuario en segundo plano. Abre varias publicaciones de Facebook y videos de YouTube para aumentar artificialmente las vistas sin el conocimiento de la víctima.
Este malware también puede implementar un ladrón para obtener las credenciales almacenadas. Y si accede a una cuenta de Facebook, el malware puede analizar si la cuenta administra páginas o grupos, paga anuncios o tiene una cuenta de administrador comercial vinculada.
Esto ayuda a los atacantes a determinar qué tan valiosa es una cuenta para que puedan ejecutar los comandos en consecuencia. Por último, pero no menos importante, S1ideload Stealer puede descargar y ejecutar un minero de criptomonedas. Los atacantes usan el dispositivo de la víctima para minar la criptomoneda BEAM.
S1ideload Stealer infectó a cientos de usuarios el año pasado
La campaña de malware S1ideload Stealer ha estado activa desde al menos el año pasado y ha infectado a cientos de usuarios. Bitdefender dice que ha «detectado más de 600 usuarios únicos infectados con este malware» en los últimos seis meses de 2022, es decir, entre julio y diciembre.
Como cualquiera haría, la empresa de seguridad anima a los usuarios a no descargar archivos ejecutables de fuentes desconocidas. Siempre asegúrese de estar al tanto de lo que está instalando en su computadora.
“Los productos de Bitdefender detectan S1deload Stealer en todas las etapas de ejecución. Recomendamos a los usuarios que nunca hagan clic en archivos EXE descargados de fuentes no confiables. Además, los usuarios nunca deben ignorar las advertencias del software de seguridad”, dijo un investigador de Bitdefender en una publicación de blog (vía). Si desea profundizar en todos los detalles técnicos sobre esta campaña de malware, puede leer el documento técnico de Bitdefender aquí.
