Análisis del robo de credenciales a través de Facebook
- Actualidad
Un experto de ESET España desengrana una técnica artesanal para el robo de credenciales a través de Facebook que se centra en perfiles profesionales de la red social para tomar el control de sus cuentas.
Josep Albors, director de investigación y concienciación de ESET España, ha publicado un post en el que realiza una detalla descripción de una técnica para el robo de credenciales que ataca las cuentas profesionales en Facebook. Que haya hackers que se centran en esta red social significa que no está tan en desuso como parecía. Que además utilicen técnicas muy artesanales en lugar de mecanismos más sencillos demuestra que todavía hay ciberdelincuentes que prefieren técnicas tradicionales a modernos sistemas como la IA.
Esta campaña de ataques solicita en primer lugar información como potencial cliente, enviando un enlace a una supuesta captura de pantalla del producto o servicio que les interesa. Si se descarga y se ejecuta el archivo, se activa la cadena de la infección. El ejecutable se conecta a un servidor externo, que está controlado por los atacantes y que aloja las siguientes fases del ataque.
Se ejecuta un archivo .BAT, con parámetro para realizar intentos cada cierto tiempo si o logra acceder a la ubicación remota a la primera. Cuando lo hace, ejecuta comando en PowerShell en el sistema que conectarán a otras carpetas del mismo dominio para, entre otras cosas, descargar y ejecutar Python, el lenguaje del código malicioso. El código está diseñado para robar las contraseñas y enviarlas a un servidor remoto.
Los módulos de Python que incorpora permiten acceder al sistema operativo, cifrar y descifrar datos, conectarse a bases de datos, usar criptografía, hacer peticiones web y procesar datos en formato JSON. Entre otras cosas, el código es capaz de buscar el archivo Login Data en el directorio donde se almacenan los datos del navegador, realizar una consulta SQL para obtener el nombre de usuario, la URL y la contraseña cifrada de cada entrada o descifrar las contraseñas con la clave maestra de Windows.
Albors destaca que se trata de un sistema muy artesanal, que requiere de bastantes conocimientos técnicos. Y avisa de que no hay que bajar la guardia antes de descargar archivos no solicitados, teniendo en cuenta que “el robo de credenciales podría hacer que los delincuentes tomasen el control del perfil y comprometer la seguridad de nuestros seguidores y causarnos un daño reputacional considerable”.
