Cabecera-v2-web.jpg

Malware “Win32/Agent.UAW” capaz de obtener datos y cookies de los sistemas anuncios de Facebook (Facebook Ads)


Se detectaron recientemente casos de infección con el malware “Win32/Agent.UAW” en Latinoamérica, específicamente en países como Perú, México y Argentina. Esta amenaza afecta a los sistemas operativos Windows, la misma tiene como objetivo obtener la información relacionada con el uso del sistema de Anuncios de Facebook (Facebook Ads) y diversos detalles de las campañas publicitarias realizadas por las víctimas, para luego enviar dicha información a un servidor controlado por el ciberdelincuente.

A diferencia de otras amenazas, los datos recolectados no tienen que ver con publicaciones, videos, fotos o chats de la víctima sino con algo mucho más específico e inusual: patrones de uso de Facebook Ads y detalles sobre las campañas publicitarias realizadas desde su cuenta. Teniendo en cuenta esto, la amenaza se encuentra orientada principalmente a empresas, políticos o usuarios que produzcan y promocionen contenido mediante esta plataforma.

¿Cómo se infecta la víctima?

Generalmente los ciberdelincuentes hacen uso de diversas técnicas de ingeniería social para engañar a la víctima y que ésta descargue el archivo malicioso en su sistema. Por ejemplo, a través de campañas de promociones falsas enviadas a través del correo electrónico o por redes sociales, que induzcan a una potencial víctima a ingresar a una página maliciosa o descargar un archivo.

¿Cómo funciona?

Para conseguir la información, este programa malicioso necesariamente debe obtener las cookies de Facebook correspondientes a la sesión de la víctima, las cuales se encuentran generalmente almacenadas en el sistema (a menos que la sesión se cierre). Este procedimiento depende del navegador web que el usuario víctima utilice, por ello, el malware se encuentra diseñado para obtener y utilizar las cookies almacenadas únicamente de los navegadores Microsoft Edge y Google Chrome.

Sin embargo, esta amenaza no cuenta con la capacidad de extraer las cookies por sí mismo, por ello, utiliza dos herramientas adicionales benignas (ChromeCookiesView y EdgeCookiesView) para realizar esta tarea, herramientas que se encuentran almacenadas en la sección de recursos del programa. Seguidamente, el malware las escribirá en el sistema y las ejecutará pasando como parámetro “/scookiestxt” para que las cookies extraídas sean almacenadas en un archivo de texto llamado “fjgha23_fa.txt”.

Una vez generado el archivo de texto con las cookies extraídas, el malware procede a abrir dicho archivo y realizar la búsqueda de cookies de interés por parte de los ciberdelincuentes, en este caso, las cookies de Facebook. En caso de no encontrar ninguna, el programa envía al ciberdelincuente información básica (como el país de procedencia, IP, entre otros) sobre la víctima y finaliza la ejecución.

Caso contrario, si descubre una cookie de Facebook que corresponde a una sesión activa, el malware hará uso de la misma para acceder a Facebook y realizar una recopilación de datos sobre la cuenta de usuario. En este caso, el malware está centrado específicamente en la obtención de información relacionada con las páginas de Facebook del usuario y la utilización de Facebook Ads.


Por ello, obtiene datos relacionados a los anuncios creados en Facebook Ads, dinero invertido en campañas publicitarias, detalles sobre pagos y saldos, fechas de pago, ID de la cuenta de pago, balances, entre otros. Esto es posible gracias a que utiliza Facebook Ads Manager (herramienta que permite realizar un seguimiento del rendimiento de las campañas), así como también la API de Facebook “Graph” (herramienta para que las aplicaciones puedan realizar tareas de lectura y escritura en la gráfica social de Facebook). En la siguiente imagen, puede observarse algunas de las palabras más relevantes (resaltadas en rojo) que evidencian lo descrito anteriormente:

Finalmente, todos los datos recolectados sobre las cuentas de Facebook son exfiltrados en un formato JSON, a través de una solicitud POST HTTP a la API del sitio web controlado por el ciberdelincuente.

Recomendaciones:

  • Descargue programas únicamente de sitios web o tiendas oficiales.
  • Instale soluciones de antivirus/firewall y manténgalo actualizado.
  • Mantenga el sistema operativo, sistemas o aplicaciones utilizadas con los últimos parches de seguridad aplicados.
  • Manténgase informado sobre las amenazas y las técnicas utilizadas por los ciberdelincuentes, así también cómo protegerse de ellas.
  • Tenga cuidado al abrir mensajes de correos electrónicos, redes sociales, sms con enlaces o adjuntos sospechosos, , tanto si vienen de remitentes conocidos como desconocidos. Antes, asegúrese de que el remitente le está enviando un adjunto. Para reconocer este tipo de fraudes diríjase al siguiente artículo.
  • En caso de sospechas de una posible infección, es importante proteger las cookies, para ello realice lo siguiente:
    • Borre periódicamente las cookies almacenadas en el navegador
    • Cuando vaya a ingresar datos personales o confidenciales, navegue en modo incógnito, ya que con esta función el navegador no almacena las cookies de los sitios accedidos impidiendo que el malware pueda acceder a las mismas.
    • En caso de que ingrese a Facebook sin el modo incógnito, asegúrese de cerrar la sesión al dejar de utilizarlo y borrar las cookies almacenadas.

Referencias:


pie.png

CERT-PY | Centro de Respuestas a Incidentes Cibernéticos
Ministerio de Tencnologí­as de la Información y Comunicación (MITIC)

Avda. Gral. Santos c/ Concordia | Telefono: (595 21) 217-9000
República del Paraguay

80x15.png

Versión del Template 1.11