Win32/Agent.UAW: amenaza que roba cookies y datos de Facebook Ads

A diferencia de otras amenazas, los datos recolectados no tienen que ver con publicaciones, videos, fotos o chats de la víctima sino con algo mucho más específico e inusual: patrones de uso de Facebook Ads y detalles sobre las campañas publicitarias realizadas desde su cuenta. Teniendo en cuenta que la mayoría de los usuarios no tienen páginas en Facebook o no invierten en campañas de publicidad para estas, es de suponer que esta amenaza tiene como objetivo a empresas, políticos o usuarios que produzcan y promocionen contenido mediante esta plataforma.

Actualmente esta amenaza se encuentra muy presente en Latinoamérica, siendo Perú el principal foco de detección, seguido por México y Argentina. Sin embargo, es preciso destacar que también tiene una fuerte presencia a nivel mundial, habiendo sido registrada en más de 100 países.

Características generales:

  • Se distribuye habiendo sido empaquetada mediante UPX.
  • Posee protección anti-debugging.
  • Establece la persistencia mediante la escritura de una entrada de Autorun en el registro de Windows.
  • Obtiene datos de IP, WHOIS y geolocalización de la víctima mediante una consulta a https://ip-api.com/.
  • Contiene dos ejecutables adicionales en su sección de recursos que son escritos en el sistema y utilizados para extraer las cookies de los navegadores.
  • Busca cookies de Facebook almacenadas por Google Chrome o Edge y las utiliza para obtener más datos sobre los patrones de uso de la cuenta del usuario.

Obtención de las cookies

Esta amenaza no cuenta con la capacidad de extraer las cookies de los navegadores web por sí misma, por lo tanto, debe hacer uso de un software adicional para realizar dicha tarea. En consecuencia, los cibercriminales distribuyen este malware junto a dos herramientas contenidas dentro de la sección de recursos del código malicioso.

Dichos ejecutables se corresponden con dos herramientas de extracción de cookies de navegadores web desarrolladas por Nirsoft:

Cabe destacar que estas herramientas son benignas y simplemente son utilizadas como una pieza más dentro de la dinámica maliciosa de esta amenaza.

Revisión de las cookies

Una vez que las herramientas auxiliares extraen y almacenan las cookies, el malware abrirá el archivo que las contiene en búsqueda de aquellas que son de interés para los atacantes, particularmente, cookies de Facebook.

En caso de no encontrar ninguna, le enviará al atacante información básica, como el país en el que se encuentra la víctima, y posteriormente finalizará su ejecución. Este procedimiento se repetirá en el próximo inicio del sistema para intentar extraer nuevamente las cookies y revisar si encuentra una relevante.

Por otro lado, en caso de encontrar una cookie de Facebook, la amenaza continuará con las siguientes etapas del proceso.

Obtención de datos de la cuenta del usuario

Si se encuentra una cookie de Facebook correspondiente a una sesión activa, el malware la utilizará para acceder a Facebook y comenzar a recopilar diferentes datos sobre la cuenta del usuario.

Esta amenaza se centra específicamente en obtener información relacionada a las páginas de Facebook del usuario y a su uso de Facebook Ads. Es decir, intenta conseguir datos relacionados a los anuncios creados en Facebook Ads por el usuario, el dinero invertido en las campañas, detalles sobre pagos y saldos, fechas de pago, ID de la cuenta de pago, balances, etc. Esta información es obtenida tanto a través de Facebook Ads Manager como a través de consultas a Graph, la API de Facebook.

Consejos para estar protegido de esta amenaza

Lo primero que debemos hacer es aplicar buenas prácticas de seguridad para evitar en primer lugar que la infección suceda. Sin embargo, si hubiésemos sido infectados o si no sabemos si lo estamos, una buena idea es proteger las cookies, ya que la principal funcionalidad maliciosa de esta amenaza tiene como objetivo robarlas y utilizarlas para conseguir más información. Para lograr esto puede hacerse lo siguiente:

  • Borrar periódicamente las cookies almacenadas en nuestro navegador web. Generalmente es posible acceder a esta funcionalidad desde las configuraciones del navegador.
  • Navegar en modo incognito. Al utilizar esta funcionalidad el navegador no almacena las cookies de los sitios accedidos, por lo que el malware no podría acceder a ellas.
  • Ingresar al menos a Facebook en modo incognito.
  • Si se ingresa a Facebook sin modo incognito, cerrar la sesión al dejar de utilizarlo y borrar cookies almacenadas.

Si bien todos estos puntos pueden resultar incómodos cuando se quiere ingresar a las cuentas frecuentemente, pueden ser muy beneficiosos desde el punto de vista de la seguridad, tambien siendo uno de los puntos de revisión de nuestros sistemas de alerta temprana con la Mesa de Ayuda IT de Serinformática