Meta dijo que tomó medidas para eliminar más de 1,000 URL maliciosas que se compartieron en sus servicios que aprovecharon ChatGPT de OpenAI como un señuelo para propagar alrededor de 10 familias de malware desde marzo de 2023.
El desarrollo se produce en el contexto de las extensiones falsas del navegador web ChatGPT que se utilizan cada vez más para robar las credenciales de la cuenta de Facebook de los usuarios con el objetivo de ejecutar anuncios no autorizados de cuentas comerciales secuestradas.
«Los actores de amenazas crean extensiones de navegador maliciosas disponibles en tiendas web oficiales que afirman ofrecer herramientas basadas en ChatGPT», dijo Meta. «Luego promoverían estas extensiones maliciosas en las redes sociales y a través de resultados de búsqueda patrocinados para engañar a las personas para que descarguen malware».
El gigante de las redes sociales dijo que ha bloqueado varias iteraciones de una campaña de malware múltiple llamada Ducktail a lo largo de los años, y agregó que emitió una carta de cese y desistimiento a las personas detrás de la operación que se encuentran en Vietnam.
Trend Micro, en una serie de tweets la semana pasada, detalló un ladrón de información que se disfraza de cliente de escritorio de Windows para que ChatGPT extraiga contraseñas, cookies de sesión e historial de navegadores con tecnología Chromium. La compañía dijo que el malware comparte similitudes con Ducktail.
Además de ChatGPT, también se ha observado que los actores de amenazas cambian a otros «temas candentes y temas populares» como Google Bard, herramientas de marketing de TikTok, software y películas pirateadas y utilidades de Windows para engañar a las personas para que hagan clic en enlaces falsos.
«Estos cambios son probablemente un intento de los actores de amenazas para garantizar que cualquier servicio tenga una visibilidad limitada de toda la operación», dijo Guy Rosen, director de seguridad de la información de Meta.
Las cadenas de ataque están diseñadas principalmente para apuntar a las cuentas personales de los usuarios que administran o están conectados a páginas comerciales y cuentas publicitarias en Facebook.
Además de usar las redes sociales para propagar las URL maliciosas con temas de ChatGPT, el malware está alojado en una variedad de servicios legítimos como Buy Me a Coffee, Discord, Dropbox, Google Drive, iCloud, MediaFire, Mega, Microsoft OneDrive y Trello.
Ducktail no es el único malware ladrón detectado en la naturaleza, ya que Meta reveló que descubrió otra cepa novedosa llamada NodeStealer que es capaz de saquear cookies y contraseñas de los navegadores web para comprometer finalmente las cuentas de Facebook, Gmail y Outlook.
Se evalúa que el malware es de origen vietnamita, y Meta señala que «tomó medidas para interrumpirlo y ayudar a las personas que pueden haber sido atacadas a recuperar sus cuentas» dentro de las dos semanas posteriores a su implementación a fines de enero de 2023.
Las muestras analizadas por la compañía con sede en Menlo Park muestran que el binario NodeStealer se distribuye a través de ejecutables de Windows disfrazados de archivos PDF y XLSX con nombres de archivo relacionados con el marketing y los presupuestos mensuales. Los archivos, cuando se abren, entregan código JavaScript diseñado para filtrar datos confidenciales de navegadores basados en Chromium.
NodeStealer recibe su nombre del uso del entorno de ejecución JavaScript multiplataforma .js Node, que se incluye junto con la carga útil principal, para configurar la persistencia y ejecutar el malware. No se han identificado nuevos artefactos hasta el 27 de febrero de 2023.
«Después de recuperar las credenciales de Facebook de los datos del navegador del objetivo, el malware lo usa para realizar varias solicitudes no autorizadas a las URL de Facebook para enumerar la información de la cuenta relacionada con la publicidad», dijo Meta. «La información robada permite al actor de amenazas evaluar y luego usar las cuentas publicitarias de los usuarios para publicar anuncios no autorizados».
En un intento de pasar desapercibido por los sistemas antiabuso de la compañía, las solicitudes deshonestas se realizan desde el dispositivo del usuario objetivo a las API de Facebook, lo que le da una apariencia de legitimidad a la actividad.
Para contrarrestar tales amenazas, Meta dijo que está lanzando una nueva herramienta de soporte que guía a los usuarios para identificar y eliminar malware, permitir a las empresas verificar las cuentas de Business Manager conectadas y requerir autenticación adicional al acceder a una línea de crédito o cambiar de administrador de negocios.
Fuente y redacción: thehackernews.com
