Preko lažnih oglasa hakeri otimaju Facebook naloge koje koriste za širenje SYS01 InfoStealer malvera

Društvene mreže, 31.10.2024, 11:00 AM

Preko lažnih oglasa hakeri otimaju Facebook naloge koje koriste za širenje SYS01 InfoStealer malvera

Istraživači sajber bezbednosti iz Bitdefender Labsa upozoravaju na pokušaje zloupotrebe Metinine reklamne platforme i otimanje Facebook naloga koji se koriste za distribuciju SYS01 InfoStealer malvera.

„Hakeri koji stoje iza kampanje koriste pouzdane brendove da prošire svoj doseg“, navodi Bitdefender Labs u izveštaju.

„Kampanja zlonamernog oglašavanja koja izaziva haos na Meta platformama najmanje mesec dana kontinuirano se razvija, a novi oglasi se pojavljuju svakodnevno. Malver SYS01 InfoStealer postao je centralno oružje u ovoj kampanji, ciljajući žrtve na više platformi.“

Da bi maksimizirali domet, sajber kriminalci oponašaju širok spektar poznatih softverskih alata, poput softvera za uređivanje videa i fotografija kao što je CapCut, Canva ili Adobe Photoshop, VPN softver poput Express VPN i VPN Plus, zatim aplikacije kao što je Netflix, mesindžere poput Telegrama i video igre, povećavajući domet na širu korisničku bazu. Oni koriste skoro stotinu domena ne samo za distribuciju malvera već i za operacije komandovanja i kontrole (C2) uživo, što im omogućava da upravljaju napadom u realnom vremenu.

SYS01 je prvi dokumentovao Morphisec početkom 2023. godine, opisujući napade koje ciljaju Facebook poslovne naloge pomoću Google oglasa i lažnih Facebook profila koji promovišu igre, sadržaj za odrasle i krekovani softver.

Kao i u drugim slučajevima distribucije ove vrste malvera, krajnji cilj je krađa podataka za prijavljivanje, istorije pretraživanja i kolačića, ali i podataka o Facebook oglasu i poslovnom nalogu, koji se zatim koriste za dalje širenje malvera putem lažnih oglasa.

„Oteti Facebook nalozi služe kao osnova za povećanje čitave operacije“, navodi se u izveštaju Bitdefendera. „Svaki kompromitovani nalog se može prenameniti da promoviše dodatne zlonamerne oglase, povećavajući domet kampanje, a da hakeri ne moraju sami da kreiraju nove Facebook naloge.“

Primarni vektor kroz koji se SYS01 InfoStealer distribuira je preko reklama na platformama kao što su Facebook, YouTube i LinkedIn, koji promovišu Windows teme, igre, AI softver, editore fotografija, VPN-ove i servise za strimovanje filmova. Većina Facebook oglasa je dizajnirana da cilja muškarce od 45 i više godina.

Ovo mami žrtve da kliknu na ove oglase i da im se ukradu podaci pretraživača. Ako među podacima postoje informacije koje se odnose na Facebook, postoji mogućnost ne samo da im se ukradu podaci, već i da hakeri preuzmu njihove Facebook naloge kako bi dalje širili oglase.

Korisnici koji kliknu na oglase preusmeravaju se na obmanjujuće sajtove hostovane na Google Sites ili True Hostingu, koji se lažno predstavljaju kao sajtovi legitimnih brendova i aplikacija.

Fajl preuzet sa ovih veb sajtova je ZIP arhiva koja sadrži benigni izvršni fajl, koji se koristi za učitavanje zlonamernog DLL-a odgovornog za dekodiranje i pokretanje višestepenog procesa infekcije.

Malver se neće pokrenuti u zaštićenom okruženju. Pored toga, modifikuju se i postavke Microsoft Defender antivirusa da bi se izbeglo otkrivanje i obezbedilo pokretanje malvera.

„Prilagodljivost sajber kriminalaca koji stoje iza ovih napada čini ovu kampanju posebno opasnom“, rekao je Bitdefender. „Malver koristi detekciju sandboxa, zaustavljajući svoje operacije ako otkrije da se pokreće u kontrolisanom okruženju, koje analitičari često koriste za ispitivanje malvera. To mu omogućava da ostane neotkriven u mnogim slučajevima.“

Kada antivirusne kompanije otkriju i blokiraju trenutnu verziju malvera, hakeri poboljšavaju metode prikrivanja i ponovo pokreću nove oglase sa ažuriranim verzijama.

Ovaj napad je globalan, sa milionima potencijalnih žrtava, i obuhvata regione kao što su Evropa, Severna Amerika, Australija i Azija a posebno su na meti muškarci stariji od 45 godina.

Foto: Roman Martyniuk | Unsplash


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Facebook želi da koristi slike koje nikada niste objavili za obuku AI modela

Facebook želi da koristi slike koje nikada niste objavili za obuku AI modela

Facebook već godinama koristi javne objave, fotografije i interakcije korisnika za obuku veštačke inteligencije. Kompanija je već iskoristila javn... Dalje

Facebook uvodi passkey – bezbedniji način prijave bez lozinke

Facebook uvodi passkey – bezbedniji način prijave bez lozinke

Facebook je najavio da uvodi passkey (digitalni ključ) kao novi način prijavljivanja na mobilnim uređajima, bez potrebe za klasičnim lozinkama. Ov... Dalje

Zašto sajber kriminalci traže posao na LinkedIn-u

Zašto sajber kriminalci traže posao na LinkedIn-u

Sajber kriminalci iz poznate grupe FIN6 predstavljaju se kao ljudi koji traže posao na platformama poput LinkedIn-a kako bi zarazili poslodavce malve... Dalje

Oglasi za lažne AI video generatore na Facebook-u i LinkedIn-u šire malvere

Oglasi za lažne AI video generatore na Facebook-u i LinkedIn-u šire malvere

Mandiant Threat Defens upozorava korisnike na prevaru iza koje stoji grupa UNC6032 koja na društvenim mrežama postavlja oglase za lažne AI video al... Dalje

TikTok video snimci šire malvere Vidar i StealC

TikTok video snimci šire malvere Vidar i StealC

Sajber kriminalci koriste TikTok video snimke za širenje malvera za krađu informacija Vidar i StealC u ClickFix napadima, upozorava Trend Micro. Re... Dalje