Win32/Agent.UAW: amenaza que roba cookies y datos de Facebook Ads

Una amenaza muy presente en países como Perú, México y Argentina que roba información de la víctima relacionada al uso de Facebook Ads y detalles de las campañas de publicidad realizadas. Win32 / Agent.UAW es un troyano que se utiliza como nombre de detección para Power Loader, un generador de bots especial para generar descargadores […]

Una amenaza muy presente en países como Perú, México y Argentina que roba información de la víctima relacionada al uso de Facebook Ads y detalles de las campañas de publicidad realizadas.

Win32 / Agent.UAW es un troyano que se utiliza como nombre de detección para Power Loader, un generador de bots especial para generar descargadores para otras familias de malware. Este software malicioso afecta las credenciales utilizadas para iniciar sesión en sitios web específicos diseñados por ciberdelincuentes.

Asimismo, recopila información específica utilizada para acceder a sitios web particulares, y también puede recopilar información confidencial cuando el usuario de la PC navega por ciertos sitios web.

Win32 / Agent.UAW intenta enviar la información recopilada a un servidor distante. Cuando se ejecuta, Win32 / Agent.UAW también puede recopilar varios datos vinculados al sistema informático infectado, lo que implica programas de seguridad detectados en la PC pirateada, aplicaciones instaladas y otros.

Características generales de Win32/Agent.UAW

• Se distribuye habiendo sido empaquetada mediante UPX.
• Posee protección anti-debugging.
• Establece la persistencia mediante la escritura de una entrada de Autorun en el registro de Windows.
• Obtiene datos de IP, WHOIS y geolocalización de la víctima mediante una consulta a https://ip-api.com/.
• Contiene dos ejecutables adicionales en su sección de recursos que son escritos en el sistema y utilizados para extraer las cookies de los navegadores.
• Busca cookies de Facebook almacenadas por Google Chrome o Edge y las utiliza para obtener más datos sobre los patrones de uso de la cuenta del usuario.

Robo de información

Para poder llevar a cabo el robo de la información, el malware debe obtener las cookies de Facebook correspondientes a la sesión de la víctima, las cuales generalmente se encuentran almacenadas en el sistema (a menos que se cierre la sesión). Sin embargo, la forma de acceder a ellas puede variar según el navegador web que el usuario utilice, por lo que esta amenaza está diseñada para robar y utilizar únicamente las cookies almacenadas por los navegadores Google Chrome y Microsoft Edge.

Obtención de datos de la cuenta del usuario

Si se encuentra una cookie de Facebook correspondiente a una sesión activa, el malware la utilizará para acceder a Facebook y comenzar a recopilar diferentes datos sobre la cuenta del usuario.

Esta amenaza se centra específicamente en obtener información relacionada a las páginas de Facebook del usuario y a su uso de Facebook Ads. Es decir, intenta conseguir datos relacionados a los anuncios creados en Facebook Ads por el usuario, el dinero invertido en las campañas, detalles sobre pagos y saldos, fechas de pago, ID de la cuenta de pago, balances, etc. Esta información es obtenida tanto a través de Facebook Ads Manager como a través de consultas a Graph, la API de Facebook.