Anuncios de Facebook y GitHub abusados ​​para robar credenciales de cuentas

En una campaña de phishing recién descubierta, Los investigadores de ThreatNix han identificado algunos agentes de amenazas que abusan de los anuncios de Facebook y GitHub para robar las credenciales de inicio de sesión de Facebook.. Esta campaña ha estado activa durante medio año y se ha estado registrando rápidamente. A partir de ahora, había más de 6.15.000 credenciales de usuario registrado en varios países.

Campaña de phishing que roba las credenciales de inicio de sesión

En lo que se describe como una campaña sofisticada, los actores de amenazas desconocidos están utilizando anuncios de Facebook para redirigir a los usuarios desprevenidos a una página de phishing, que está alojada en una página estática de GitHub para robar las credenciales de la cuenta de Facebook del usuario. ThreatNix, una empresa de ciberseguridad de Nepal, descubrió esto.

Investigadores aquí descubrió esta campaña con un anuncio sospechoso patrocinado por Facebook, que ofrece a los usuarios 3 GB de datos gratuitos al registrar sus datos. El anuncio se consideró ofrecido por Nepal Telecom, un operador de telecomunicaciones local, y se hace cuidadosamente en un idioma local para ser atractivo y evitar ser detectado.

Anuncios de Facebook y GitHub abusados ​​para robar credenciales de cuentas

Al hacer clic en el anuncio, se redirigirá una página de phishing alojada en una página estática de GitHub, solicitando las credenciales de inicio de sesión de Facebook del usuario para aprovechar la oferta de datos gratuitos. Los investigadores han encontrado anuncios similares dirigidos a usuarios ubicados en Egipto, Filipinas, Túnez, Pakistán, etc.

Lea también: Cómo eliminar el acceso a aplicaciones de terceros desde la aplicación de Facebook

Todas las credenciales conectadas se transportaron a dos ubicaciones: una base de datos de Firestore y un dominio alojado por GoDaddy, controlado por piratas informáticos. Cavando Profundo, los investigadores han descubierto unas 6.15.000 credenciales ya registradas y han aumentado las entradas rápidamente a una velocidad de 100 por minuto.

También descubrieron otros tres dominios relacionados y unos 500 repositorios de GitHub (algunos de los cuales ahora están extintos) utilizados para esta campaña. Los investigadores ahora están trabajando con las autoridades pertinentes para revertir esta campaña y colaborar con cualquier persona interesada en ayudar.