SYS01 распространяет вредоносную рекламу в Facebook через взломанные учётные записи
01/11/24
Исследователи из компании Bitdefender раскрыли активную кампанию «малвертайзинга», направленную на взлом аккаунтов Facebook * и распространение вредоносного ПО SYS01stealer.
В своей вредоносной активности хакеры используют рекламные инструменты Meta *, чтобы привлекать пользователей и внедрять зловредное ПО, передавая им файлы, содержащие вирус. Эти действия нацелены на захват данных пользователей и бизнес-аккаунтов, что позволяет преступникам и далее беспрепятственно распространять вредоносную рекламу, пишет Securitylab.
Злоумышленники используют известные бренды, чтобы повысить уровень доверия пользователей к фальшивым объявлениям. Через сотни специально созданных доменов осуществляется управление атаками в реальном времени, что позволяет хакерам оперативно манипулировать ходом кампании.
SYS01stealer был впервые обнаружен в начале 2023 года и направлен в первую очередь на кражу данных входа в аккаунты Facebook, а также истории браузера и cookies. По словам Bitdefender, скомпрометированные аккаунты Facebook позволяют хакерам расширять свою деятельность без необходимости создавать новые учётные записи.
Рекламная кампания распространяет SYS01stealer на таких платформах, как Facebook, YouTube и LinkedIn, через объявления, предлагающие, среди прочего, темы для Windows, игры и VPN-сервисы. Целевая аудитория этих объявлений — преимущественно мужчины старше 45 лет, что повышает вероятность вовлечения в мошенническую схему.
Как отмечается в июльском анализе компании Trustwave, пользователи, взаимодействующие с такими объявлениями, перенаправляются на фальшивые сайты, маскирующиеся под известные бренды. При переходе на сайты начинается процесс заражения — пользователи загружают архивы с вредоносным содержимым. Для защиты от обнаружения зловред использует технологии обхода антивирусных программ и запускает PowerShell-команды, которые предотвращают запуск вируса в изолированной среде.
Новые версии SYS01stealer включают обновления, затрудняющие его выявление. Например, вредоносный архив содержит приложение, работающее на платформе Electron, что говорит о том, что преступники продолжают совершенствовать свои методы.
* Компания Meta и её продукты признаны экстремистскими, их деятельность запрещена на территории РФ.