Истражувачите за сајбер безбедност од Bitdefender Labs предупредуваат на обиди за злоупотреба на рекламната платформа на Мета и крадење на сметките на Facebook што се користат за дистрибуција на малициозен софтвер SYS01 InfoStealer.
„Хакерите зад кампањата користат доверливи брендови за да го прошират својот досег“, се вели во извештајот на Bitdefender Labs.
„Злонамерната рекламна кампања која прави хаос на Мета платформите најмалку еден месец континуирано се развива, секојдневно се појавуваат нови реклами. Злонамерниот софтвер SYS01 InfoStealer стана централно оружје во оваа кампања, таргетирајќи ги жртвите на повеќе платформи“.
За да го максимизираат својот дофат, сајбер-криминалците емулираат широк спектар на добро познати софтверски алатки, како софтвер за уредување видео и фотографии како што се CapCut, Canva или Adobe Photoshop, VPN софтвер како Express VPN и VPN Plus, потоа апликации како Netflix, месинџери како што се Телеграм и видео игрите, зголемувајќи го досегот до пошироката корисничка база.
Тие користат речиси сто домени не само за дистрибуција на малициозен софтвер, туку и за операции за команда и контрола во живо (C2), што им овозможува да управуваат со нападот во реално време.
SYS01 првпат го документира Morphisec на почетокот на 2023 година, опишувајќи напади насочени кон деловни сметки на Facebook користејќи реклами на Google и лажни профили на Facebook кои промовираат игри, содржини за возрасни и пробиен софтвер.
Како и со другите дистрибуции на овој тип на малициозен софтвер, крајната цел е да се украдат податоци за најавување, историја на прелистување и колачиња, како и податоци за реклами и деловни сметки на Facebook, кои потоа се користат за дополнително ширење на малициозниот софтвер преку лажни реклами.
„Киднапираните сметки на Facebook служат како основа за зголемување на целата операција“, се вели во извештајот на Bitdefender. „Секоја компромитирана сметка може да се пренамени за да промовира дополнителни злонамерни реклами, зголемувајќи го досегот на кампањата без хакерите сами да создаваат нови сметки на Facebook.
Примарниот вектор преку кој се дистрибуира SYS01 InfoStealer е преку реклами на платформи како Facebook, YouTube и LinkedIn, кои промовираат теми за Windows, игри, софтвер за вештачка интелигенција, уредници на фотографии, VPN и услуги за стриминг филмови. Повеќето реклами на Фејсбук се дизајнирани да таргетираат мажи 45 и постари.
Ова ги наведува жртвите да кликнат на овие реклами и да им бидат украдени податоците од прелистувачот. Доколку меѓу податоците има информации поврзани со Facebook, постои можност не само да им бидат украдени податоците, туку и хакерите да ги преземат нивните профили на Facebook за дополнително да дистрибуираат реклами.
Корисниците кои кликнуваат на рекламите се пренасочуваат кон измамничките сајтови хостирани од Google Sites или True Hosting, кои имитираат легитимни сајтови за бренд и апликации.
Датотеката преземена од овие веб-локации е архива ZIP која содржи бенигна извршна датотека, која се користи за вчитување на злонамерен DLL одговорен за декодирање и започнување процес на инфекција во повеќе фази.
Злонамерниот софтвер нема да работи во заштитена средина. Покрај тоа, поставките за антивирус на Microsoft Defender се изменети за да се избегне откривање и да се обезбеди стартување на малициозен софтвер.
„Прилагодливоста на сајбер-криминалците зад овие напади ја прави оваа кампања особено опасна“, рече Bitdefender. „Злонамерниот софтвер користи детекција на sandbox, запирајќи ги своите операции ако открие дека работи во контролирана средина, која аналитичарите често ја користат за испитување на малициозен софтвер. Ова му овозможува да остане неоткриен во многу случаи“.
Кога антивирусни компании ќе ја детектираат и блокираат тековната верзија на малициозен софтвер, хакерите ги подобруваат нивните скришум методи и повторно започнуваат нови реклами со ажурирани верзии.
Овој напад е глобален, со милиони потенцијални жртви и вклучува региони како Европа, Северна Америка, Австралија и Азија, а особено на мета се мажи над 45 години.
