Nuevo malware S1deload que secuestra cuentas de redes sociales

Una campaña activa de malware ha puesto su mirada en los usuarios de Facebook y YouTube aprovechando un nuevo ladrón de información para secuestrar las cuentas y abusar de los recursos de los sistemas para extraer criptomonedas.

Bitdefender llama al malware S1deload Stealer por su uso de técnicas de carga lateral de DLL para superar las defensas de seguridad y ejecutar sus componentes maliciosos.

"Una vez infectado, S1deload Stealer roba las credenciales del usuario, emula el comportamiento humano para aumentar artificialmente los videos y otros contenidos de participación, evalúa el valor de las cuentas individuales (como identificar a los administradores de redes sociales corporativas), extrae la criptomoneda BEAM y propaga el enlace malicioso a los seguidores del usuario", dijo el investigador de Bitdefender Dávid ÁCS.

Dicho de otra manera, el objetivo de la campaña es tomar el control de las cuentas de Facebook y YouTube de los usuarios y alquilar el acceso para aumentar el número de vistas y me gusta de los videos y publicaciones compartidas en las plataformas.

Se estima que más de 600 usuarios únicos se han visto afectados durante el período de seis meses entre julio y diciembre de 2022. La mayoría de las infecciones se encuentran en Rumania, Turquía, Francia, Bangladesh, México, Perú y Canadá.


Para llevar a cabo el esquema, los usuarios son atraídos con contenido de temática adulta a través de publicaciones de Facebook que contienen enlaces a archivos ZIP, que, cuando se extraen, desencadenan una intrincada secuencia de infección que conduce al despliegue del malware.

"Por lo tanto, el autor del malware puede crear un bucle de retroalimentación: cuantas más PC puedan infectar, más spam puedan enviar spam en Facebook, más clics podrán generar para infectar más PC", dijo Bitdefender.

Además de ser capaz de descargar módulos adicionales en el host comprometido, el malware también es responsable de lanzar un navegador Chrome sin cabeza que hace uso de una extensión para inflar artificialmente las vistas de video de YouTube.


El ladrón captura además las credenciales guardadas y las cookies de los navegadores web, realiza verificaciones de perfil de Facebook y también carga un cryptojacker que extrae criptomonedas sin el conocimiento o consentimiento de la víctima.

Bitdefender dijo que encontró superposiciones de infraestructura con un sitio web llamado upview[.] nosotros que anunciamos opciones para comprar vistas, me gusta y suscriptores de YouTube, así como opciones para aumentar los me gusta, comentarios, seguidores y vistas de videos de publicaciones de Facebook.

"El ladrón S1deload tiene serias implicaciones de privacidad para la víctima infectada con él", dijo la compañía rumana. "El malware filtra las credenciales guardadas de la víctima, incluyendo correo electrónico, redes sociales o incluso cuentas financieras. El actor de amenazas puede acceder a estas cuentas o venderlas en la web oscura".

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta