As contas comerciais comprometidas do Facebook estão a ser usadas para veicular anúncios falsos que empregam “fotos reveladoras de mulheres jovens” como iscas para induzir as vítimas a baixar uma versão atualizada de um malware chamado NodeStealer.
“Clicar em anúncios baixa imediatamente um arquivo que contem um ficheiro malicioso .exe ‘Álbum de fotos’ que também deixa cair um segundo executável escrito em .NET – esta carga é responsável por roubar cookies e senhas do navegador”, disse a Bitdefender em um relatório publicado esta semana .
O NodeStealer foi divulgado pela primeira vez pela Meta em maio de 2023 como um malware JavaScript projetado para facilitar o controle de contas do Facebook. Desde então, os atores da ameaça por trás da operação aproveitaram uma variante baseada em Python em seus ataques.
“A ferramenta Ads Manager da Meta é explorada ativamente nessas campanhas para atingir usuários do sexo masculino no Facebook, com idades entre 18 e 65 anos, da Europa, África e Caribe”, disse a Bitdefender. “O grupo demográfico mais impactado são os homens com mais de 45 anos.”
Além de distribuir o malware através de arquivos executáveis do Windows disfarçados de álbuns de fotos, os ataques expandiram seu alvo para incluir usuários regulares do Facebook. Os executáveis estão hospedados em sites legítimos.
O objetivo final dos ataques é aproveitar os cookies roubados para contornar mecanismos de segurança como a autenticação de dois fatores e alterar as senhas, bloqueando efetivamente o acesso das vítimas às suas próprias contas.
“Seja roubando dinheiro ou enganando novas vítimas por meio de contas sequestradas, esse tipo de ataque malicioso permite que os cibercriminosos permaneçam fora do radar, passando furtivamente pelas defesas de segurança do Meta”, disseram os pesquisadores.