Реклами, които крадат профилите ви във Facebook: Внимавайте какво кликвате, тези потребители са особено изложени на риск!
Изследователите на киберсигурността от Bitdefender Labs предизвестяват за опити за корист с рекламната платформа на Meta и за кражба на Фейсбук сметки, употребявани за разпространяване на злонамерения програмен продукт SYS01 InfoStealer.
„ Хакерите зад акцията употребяват надеждни марки, с цел да разширят обсега си “, се споделя в отчет на Bitdefender Labs.
„ Злонамерената рекламна акция, която сее безпорядък в Meta платформите от най-малко месец, непрестанно се развива, като всекидневно се появяват нови реклами. Зловреден програмен продукт SYS01 InfoStealer се трансформира в централно оръжие в тази акция, ориентирано към жертви в голям брой платформи. "
За да усилят оптимално своя обсег, киберпрестъпниците емулират огромно многообразие от добре познати софтуерни принадлежности, като програмен продукт за редактиране на видео и фотоси като CapCut, Canva или Adobe Photoshop, VPN програмен продукт като Express VPN и VPN Plus, по-късно приложения като Netflix, месинджъри като Telegram и видеоигри, увеличавайки техния обсег до по-широка потребителска база.
Те употребяват близо 100 домейна освен за разпространяване на злоумишлен програмен продукт, само че и за командване и ръководство онлайн (C2), което им разрешава да ръководят офанзивата в действително време.
SYS01 за първи път документира Morphisec при започване на 2023 година, описвайки офанзиви, ориентирани към бизнес сметки във Фейсбук, употребявайки реклами от Гугъл и подправени профили във Фейсбук, популяризиращи игри, наличие за възрастни и хакнат програмен продукт.
Както при други дистрибуции на този вид злотворен програмен продукт, крайната цел е да се откраднат данни за вход, история на сърфиране и бисквитки, както и рекламни данни и бизнес сметки във Фейсбук, които по-късно се употребяват за по-нататъшно разпространяване на злотворен програмен продукт посредством подправени реклами.
„ Отвлечените Фейсбук сметки служат като основа за мащабиране на цялата интервенция “, се споделя в отчета на Bitdefender. „ Всеки злепоставен акаунт може да бъде преназначен за разпространение на спомагателни злонамерени реклами, увеличавайки обсега на акцията, без хакерите да основават сами нови сметки във Фейсбук. “
Основният вектор, посредством който SYS01 InfoStealer се популяризира, е посредством реклами на платформи като Фейсбук, YouTube и LinkedIn, които разпространяват тематики за Windows, игри, AI програмен продукт, редактори на фотоси, VPN и услуги за стрийминг на филми. Повечето реклами във Фейсбук са предопределени за ориентиране към мъже на 45 и повече години.
Това кара жертвите да кликат върху тези реклами и данните от браузъра им да бъдат откраднати. Ако измежду данните има информация, обвързвана с Фейсбук, има възможност освен данните им да бъдат откраднати, само че и хакерите да изтеглят профилите им във Фейсбук, с цел да популяризират по-нататък реклами.
Потребителите, които кликат върху рекламите, се пренасочват към лъжливи уеб сайтове, хоствани от Гугъл Sites или True Hosting, които имитират уеб сайтове и приложения на законни марки.
Файлът, изтеглен от тези уеб страници, е ZIP списък, съдържащ незлокачествен осъществим файл, който се употребява за зареждане на злоумишлен DLL, виновен за декодирането и стартирането на многоетапен развой на заразяване.
Зловреден програмен продукт няма да работи в предпазена среда. Освен това настройките на Microsoft Defender Antivirus се трансформират, с цел да се избегне откриването и да се подсигурява стартирането на злотворен програмен продукт.
„ Адаптивността на киберпрестъпниците зад тези офанзиви прави тази акция изключително рискова “, сподели Bitdefender. „ Злонамереният програмен продукт употребява разкриване на пясъчна среда, като стопира интервенциите си, в случай че открие, че работи в следена среда, която анализаторите постоянно употребяват за проучване на злотворен програмен продукт. Това му разрешава да остане неусетен в доста случаи. "
Превод
