02/05/23
Согласно недавнему отчёту Guardio Labs, неизвестные злоумышленники из Вьетнама стоят за нашумевшей кампанией размещения вредоносной рекламы на платформах социальных сетей. За последние три месяца киберпреступникам удалось заразить более 500 000 устройств по всему миру, а сама полезная нагрузка включает похитители данных S1deload Stealer и SYS01stealer. Об этом пишет Securitylab.
Под вредоносным рекламным размещением понимается использование продвигаемых фишинговых постов, которые появляются прямо в новостной ленте социальных сетей. Злоумышленники нацелились на такие сервисы, как Facebook * и Twitter **, для массового распространения вредоносного программного обеспечения и других угроз безопасности. Идея состоит в том, чтобы охватить как можно более широкую аудиторию, вкладывая деньги в рекламу.
По данным Guardio Labs, такие атаки обычно начинаются с того, что злоумышленник создаёт новые бизнес-профили или захватывает уже популярные аккаунты для показа вредоносной рекламы. После нажатия на рекламный баннер, жертвам предлагается скачать фотоальбом, содержащий множество фотографий эротического содержания.
Внутри ZIP-архива, предположительно, находятся изображения, которые на самом деле являются исполняемыми файлами. При их запуске жертва активирует цепочку заражения и, в конечном итоге, внедряет похититель данных в свою Windows-систему. Вредонос способен похищать сеансовые cookie-файлы (что даёт прямой доступ к текущему сеансу профиля жертвы), данные учётной записи и прочую информацию.
Цепочка атак очень эффективна, поскольку создаёт своеобразный «порочный круг», в котором информация, украденная с помощью инфостилера, используется для публикации рекламы со свежевзломанных Facebook-аккаунтов.
Также было обнаружено, что злоумышленники, чтобы не попасть в поле зрения модерации Facebook, выдают недавно созданные бизнес-профили за аккаунты ню-фотографов. Большинство случаев заражения были зарегистрированы в Австралии, Канаде, Индии, Великобритании и США.
Сообщается, что метод, с помощью которого внедряется программа-похититель на основе PHP, постоянно развивается, чтобы включать в себя больше функций уклонения от обнаружения. Предполагается, что исполнитель, стоящий за данной вредоносной кампанией, активно совершенствует и переоснащает свою тактику в ответ на публичное раскрытие информации.
* Компания Meta и её продукты (Instagram и Facebook) признаны экстремистскими, их деятельность запрещена на территории РФ.
* Социальная сеть запрещена на территории Российской Федерации.
