Los criminales distribuyen troyanos bancarios usando los servidores CDN de Facebook

Es bien sabido que una gran cantidad de ataques de malware se pueden distribuir utilizando medios de comunicación social. Al hacer clic en nefarious enlaces o abrir adjuntos enviados en mensajes directos son dos vectores de ataque algo comunes. Un grupo de malware en particular ha llevado las cosas a un nuevo nivel, ya que utiliza el servidor de red de entrega de contenido de Facebook para ocultar a los troyanos bancarios. Este es un giro muy interesante de los acontecimientos, aunque queda por ver cómo responderá la empresa a este problema.

FACEBOOK CDN ES UNA PLATAFORMA DE DISTRIBUCIÓN DE MALWARE

Los investigadores han tropezado con una actividad de malware muy inusual en las últimas semanas. En concreto, la forma en que se distribuyen estas cargas maliciosas ha planteado muchas preguntas. Varias campañas están utilizando activamente los servidores CDN de Facebook para distribuir malware a usuarios de todo el mundo. Resulta que estos tipos de malware son todos los troyanos bancarios que se esconden en los servidores de CDN utilizados por el gigante de los medios de comunicación social.
También se cree que estos mismos criminales son responsables de haber utilizado Dropbox y el almacenamiento en la nube de Google para distribuir cargas útiles similares no hace mucho tiempo. Estos servicios de confianza han estado recibiendo mucha atención últimamente, aunque no necesariamente por las razones correctas. Cuando se utilizan herramientas como estas para la actividad criminal, es imposible saber cuáles serán las consecuencias finales. La mayoría de la gente confía en Google, Facebook y Dropbox, y apenas podría asociar estas compañías con malware.
Al hacer uso de los servidores Facebook CDN, los criminales causarán muchos daños con estos troyanos bancarios. Su nombre de dominio es confiable por las soluciones de seguridad, lo que significa que no reconocerá este malware como tal. Un dominio personalizado creado para alojar y distribuir malware puede obtener fácilmente en la lista negra e incluso ser desconectado por los registradores. Tomar Facebook fuera de línea para este propósito en particular sería bastante problemático por razones obvias
Los usuarios son contactados por primera vez a través de un correo electrónico falso en el que se les pide que visiten el CDN de Facebook donde está alojado el malware. Estos correos electrónicos están disfrazados como una comunicación de las autoridades locales. Teniendo en cuenta cómo el enlace en el correo electrónico no está marcado como malicioso de inmediato, la mayoría de los usuarios haga clic en él. Los agresores suben estos troyanos bancarios en grupos de Facebook u otras secciones públicas y usan la URL mencionada como una manera de distribuirlos a través de campañas de spam.
Lo que es bastante peculiar es cómo este ataque sólo está dirigido a los usuarios brasileños en este momento. El ecosistema brasileño es de gran interés para los delincuentes en particular, aunque se desconoce por qué este es el caso. Cuando un usuario de una región no objetivo visita el enlace, el proceso de infección se detiene prematuramente. Esto demuestra que esta nueva campaña está diseñada específicamente para un solo propósito, aunque nadie piensa en por qué Brasil es el objetivo.
Según los primeros informes, el troyano bancario que se distribuye se llama Squiblydoo. Los usuarios que hagan clic en un enlace de correo electrónico descargarán un archivo ZIP que contenga una secuencia de comandos de PowerShell. Una vez que lo hacen, el malware se descargará en segundo plano e infectará el ordenador en consecuencia. Aunque es un método bastante común de ataque, esta campaña de distribución en particular es algo que no vemos todos los días. Estos correos electrónicos de spam se han entregado a cientos de miles de destinatarios, aunque no está claro cuántas personas han hecho clic en los vínculos en cuestión.

the merkle