„Hakeri koji stoje iza kampanje koriste pouzdane brendove da prošire svoj doseg“, navodi Bitdefender Labs u izveštaju.
„Kampanja zlonamernog oglašavanja koja izaziva haos na Meta platformama najmanje mesec dana kontinuirano se razvija, a novi oglasi se pojavljuju svakodnevno. Malver SYS01 InfoStealer postao je centralno oružje u ovoj kampanji, ciljajući žrtve na više platformi.“
Da bi maksimizirali domet, sajber kriminalci oponašaju širok spektar poznatih softverskih alata, poput softvera za uređivanje videa i fotografija kao što je CapCut, Canva ili Adobe Photoshop, VPN softver poput Express VPN i VPN Plus, zatim aplikacije kao što je Netflix, mesindžere poput Telegrama i video igre, povećavajući domet na širu korisničku bazu.
Oni koriste skoro stotinu domena ne samo za distribuciju malvera već i za operacije komandovanja i kontrole (C2) uživo, što im omogućava da upravljaju napadom u realnom vremenu.
SYS01 je prvi dokumentovao Morphisec početkom 2023. godine, opisujući napade koje ciljaju Facebook poslovne naloge pomoću Google oglasa i lažnih Facebook profila koji promovišu igre, sadržaj za odrasle i krekovani softver.
Kao i u drugim slučajevima distribucije ove vrste malvera, krajnji cilj je krađa podataka za prijavljivanje, istorije pretraživanja i kolačića, ali i podataka o Facebook oglasu i poslovnom nalogu, koji se zatim koriste za dalje širenje malvera putem lažnih oglasa.
„Oteti Facebook nalozi služe kao osnova za povećanje čitave operacije“, navodi se u izveštaju Bitdefendera. „Svaki kompromitovani nalog se može prenameniti da promoviše dodatne zlonamerne oglase, povećavajući domet kampanje, a da hakeri ne moraju sami da kreiraju nove Facebook naloge.“
Primarni vektor kroz koji se SYS01 InfoStealer distribuira je preko reklama na platformama kao što su Facebook, YouTube i LinkedIn, koji promovišu Windows teme, igre, AI softver, editore fotografija, VPN-ove i servise za strimovanje filmova. Većina Facebook oglasa je dizajnirana da cilja muškarce od 45 i više godina.
Ovo mami žrtve da kliknu na ove oglase i da im se ukradu podaci pretraživača. Ako među podacima postoje informacije koje se odnose na Facebook, postoji mogućnost ne samo da im se ukradu podaci, već i da hakeri preuzmu njihove Facebook naloge kako bi dalje širili oglase.
Korisnici koji kliknu na oglase preusmeravaju se na obmanjujuće sajtove hostovane na Google Sites ili True Hostingu, koji se lažno predstavljaju kao sajtovi legitimnih brendova i aplikacija.
Fajl preuzet sa ovih veb sajtova je ZIP arhiva koja sadrži benigni izvršni fajl, koji se koristi za učitavanje zlonamernog DLL-a odgovornog za dekodiranje i pokretanje višestepenog procesa infekcije.
Malver se neće pokrenuti u zaštićenom okruženju. Pored toga, modifikuju se i postavke Microsoft Defender antivirusa da bi se izbeglo otkrivanje i obezbedilo pokretanje malvera.
„Prilagodljivost sajber kriminalaca koji stoje iza ovih napada čini ovu kampanju posebno opasnom“, rekao je Bitdefender. „Malver koristi detekciju sandboxa, zaustavljajući svoje operacije ako otkrije da se pokreće u kontrolisanom okruženju, koje analitičari često koriste za ispitivanje malvera. To mu omogućava da ostane neotkriven u mnogim slučajevima.“
Kada antivirusne kompanije otkriju i blokiraju trenutnu verziju malvera, hakeri poboljšavaju metode prikrivanja i ponovo pokreću nove oglase sa ažuriranim verzijama.
Ovaj napad je globalan, sa milionima potencijalnih žrtava, i obuhvata regione kao što su Evropa, Severna Amerika, Australija i Azija a posebno su na meti muškarci stariji od 45 godina.
Izvor: informacija/Kurir/Darko Mulic