Clicky

Nuevo malware secuestra las cuentas de redes sociales de los usuarios y extrae criptomonedas

malware S1deload Stealer

S1deload Stealer pone su mira en los usuarios de Facebook y YouTube

Una campaña activa de malware ha puesto su mira en los usuarios de Facebook y YouTube aprovechando un nuevo ladrón de información para secuestrar las cuentas y abusar de los recursos de los sistemas para extraer criptomonedas.

Bitdefender llama al malware S1deload Stealer por su uso de técnicas de carga lateral de DLL para superar las defensas de seguridad y ejecutar sus componentes maliciosos.

"Una vez infectado, S1deload Stealer roba las credenciales de los usuarios, emula el comportamiento humano para aumentar artificialmente la participación de vídeos y otros contenidos, evalúa el valor de las cuentas individuales (como identificar a los administradores de redes sociales corporativas), extrae la criptomoneda BEAM y propaga el enlace malicioso a los seguidores del usuario", dijo el investigador de Bitdefender, Dávid ÁCS.

Dicho de otra manera, el objetivo de la campaña es tomar el control de las cuentas de Facebook y YouTube de los usuarios y alquilar el acceso para aumentar el número de vistas y los me gusta de los vídeos y las publicaciones compartidas en las plataformas.

Se estima que más de 600 usuarios únicos se vieron afectados durante el período de seis meses entre julio y diciembre de 2022. La mayoría de las infecciones se encuentran en Rumania, Turquía, Francia, Bangladesh, México, Perú y Canadá.

esquema del malware S1deload Stealer

Para llevar a cabo el esquema, los usuarios son atraídos con contenido para adultos a través de publicaciones de Facebook que contienen enlaces a archivos ZIP que, cuando se extraen, desencadenan una intrincada secuencia de infección que conduce a la implementación del malware.

"Por lo tanto, el autor del malware puede crear un circuito de retroalimentación: cuantas más PC pueda infectar, más spam podrá generar en Facebook, más clics podrá generar para infectar más PC", dijo Bitdefender.

Además de ser capaz de descargar módulos adicionales en el host comprometido, el malware también es responsable de iniciar un navegador Chrome sin interfaz gráfica de usuario que utiliza una extensión para inflar artificialmente las vistas de vídeos de YouTube.

El ladrón captura además las credenciales guardadas y las cookies de los navegadores web, realiza verificaciones de perfiles de Facebook y también carga un cryptojacker que extrae criptomonedas sin el conocimiento o consentimiento de la víctima.

Bitdefender dijo que encontró superposiciones de infraestructura con un sitio web llamado upview[.]us que anuncia opciones para comprar visitas, me gusta y suscriptores de YouTube, así como opciones para aumentar los me gusta, comentarios, seguidores y visitas de vídeos de publicaciones en Facebook.

"El ladrón S1deload tiene serias implicaciones de privacidad para la víctima infectada con él", dijo la compañía rumana. "El malware extrae las credenciales guardadas de la víctima, incluido el correo electrónico, las redes sociales o incluso las cuentas financieras. El actor de amenazas puede acceder a estas cuentas o venderlas en la web oscura".

Jesus_Caceres