Изследователите на киберсигурността от Bitdefender Labs предупреждават за опити за злоупотреба с рекламната платформа на Meta и за кражба на Facebook акаунти, използвани за разпространение на злонамерения софтуер SYS01 InfoStealer.
„Хакерите зад кампанията използват надеждни марки, за да разширят обхвата си“, се казва в доклад на Bitdefender Labs.
„Злонамерената рекламна кампания, която сее хаос в Meta платформите от поне месец, непрекъснато се развива, като ежедневно се появяват нови реклами. Зловреден софтуер SYS01 InfoStealer се превърна в централно оръжие в тази кампания, насочено към жертви в множество платформи. "
За да увеличат максимално своя обхват, киберпрестъпниците емулират голямо разнообразие от добре познати софтуерни инструменти, като софтуер за редактиране на видео и снимки като CapCut, Canva или Adobe Photoshop, VPN софтуер като Express VPN и VPN Plus, след това приложения като Netflix, месинджъри като Telegram и видеоигри, увеличавайки техния обхват до по-широка потребителска база.
Те използват близо сто домейна не само за разпространение на злонамерен софтуер, но и за командване и управление на живо (C2), което им позволява да управляват атаката в реално време.
SYS01 за първи път документира Morphisec в началото на 2023 г., описвайки атаки, насочени към бизнес акаунти във Facebook, използвайки реклами от Google и фалшиви профили във Facebook, популяризиращи игри, съдържание за възрастни и хакнат софтуер.
Както при други дистрибуции на този тип зловреден софтуер, крайната цел е да се откраднат данни за вход, история на сърфиране и бисквитки, както и рекламни данни и бизнес акаунти във Facebook, които след това се използват за по-нататъшно разпространение на зловреден софтуер чрез фалшиви реклами.
„Отвлечените Facebook акаунти служат като основа за мащабиране на цялата операция“, се казва в доклада на Bitdefender. „Всеки компрометиран акаунт може да бъде преназначен за популяризиране на допълнителни злонамерени реклами, увеличавайки обхвата на кампанията, без хакерите да създават сами нови акаунти във Facebook. “
Основният вектор, чрез който SYS01 InfoStealer се разпространява, е чрез реклами на платформи като Facebook, YouTube и LinkedIn, които популяризират теми за Windows, игри, AI софтуер, редактори на снимки, VPN и услуги за стрийминг на филми. Повечето реклами във Facebook са предназначени за насочване към мъже на 45 и повече години.
Това кара жертвите да кликват върху тези реклами и данните от браузъра им да бъдат откраднати. Ако сред данните има информация, свързана с Facebook, има вероятност не само данните им да бъдат откраднати, но и хакерите да изтеглят профилите им във Facebook, за да разпространяват по-нататък реклами.
Потребителите, които кликват върху рекламите, се пренасочват към измамни сайтове, хоствани от Google Sites или True Hosting, които имитират сайтове и приложения на легитимни марки.
Файлът, изтеглен от тези уебсайтове, е ZIP архив, съдържащ доброкачествен изпълним файл, който се използва за зареждане на злонамерен DLL, отговорен за декодирането и стартирането на многоетапен процес на заразяване.
Зловреден софтуер няма да работи в защитена среда. Освен това настройките на Microsoft Defender Antivirus се променят, за да се избегне откриването и да се гарантира стартирането на зловреден софтуер.
„Адаптивността на киберпрестъпниците зад тези атаки прави тази кампания особено опасна“, каза Bitdefender. „Злонамереният софтуер използва откриване на пясъчна среда, като спира операциите си, ако открие, че работи в контролирана среда, която анализаторите често използват за изследване на зловреден софтуер. Това му позволява да остане незабелязан в много случаи. "
Превод
Нарушението, на която и да е точка от горните правила ще се смята за основание коментарът да бъде скрит. При системно нарушаване на правилата достъпът на потребителя ще бъде органичен.