网络安全研究人员发现了一起正在进行的恶意广告活动,该活动滥用Meta的广告平台并劫持Facebook账户来传播名为SYS01stealer的信息。
“该活动的黑客利用受信任的品牌来扩大其影响范围,”Bitdefender Labs在与The Hacker News分享的一份报告中表示。
“该恶意广告活动利用了近一百个恶意域名,这些域名不仅用于分发恶意软件,还用于实时的命令与控制(C2)操作,使威胁行为者能够实时管理攻击。”
SYS01stealer最早由Morphisec于2023年初记录,当时描述了针对Facebook企业账户的攻击活动,这些活动使用谷歌广告和假冒的Facebook账号推广游戏、成人内容和破解软件。
与其他窃取器恶意软件一样,SYS01stealer的最终目标是窃取登录凭证、浏览历史和Cookie。但它还专注于获取Facebook广告和企业账户数据,然后利用这些数据通过虚假广告进一步传播恶意软件。
“被劫持的Facebook账户为整个活动的扩展奠定了基础,”Bitdefender指出,“每个被攻破的账户都可以被重新利用来推广更多的恶意广告,从而在不需要黑客自己创建新Facebook账户的情况下,扩大活动的覆盖范围。”
SYS01stealer主要通过在Facebook、YouTube和LinkedIn等平台上的恶意广告进行传播,这些广告宣传Windows主题、游戏、AI软件、照片编辑器、VPN和电影流媒体服务。大多数Facebook广告都针对45岁及以上的男性。
“这有效地诱使受害者点击这些广告,从而窃取他们的浏览器数据,”Trustwave在2024年7月对恶意软件的分析中表示。
“如果数据中包含与Facebook相关的信息,那么受害者不仅可能面临浏览器数据被盗的风险,他们的Facebook账户还可能被威胁行为者控制,以进一步传播恶意广告并继续这一循环。”
与广告互动的用户会被重定向到由Google Sites或True Hosting托管的欺骗性网站,这些网站冒充合法品牌和应用,试图启动感染过程。已知的攻击还会使用被劫持的Facebook账户发布欺诈性广告。
SYS01stealer恶意软件
从这些网站下载的第一阶段有效载荷是一个ZIP归档文件,其中包含一个良性可执行文件,该文件用于侧加载一个负责解码和启动多阶段过程的恶意DLL。
这包括运行PowerShell命令以防止恶意软件在沙盒环境中运行、修改Microsoft Defender Antivirus设置以排除某些路径以避免被检测,以及设置运行环境以运行基于PHP的窃取器。
罗马尼亚网络安全公司观察到的最新攻击链中,ZIP归档文件嵌入了Electron应用程序,这表明威胁行为者正在不断演变其策略。
Atom Shell Archive(ASAR)中还包含一个JavaScript文件(“main.js”),该文件现在执行PowerShell命令以执行沙盒检查并运行窃取器。通过在主机上设置计划任务来实现持久性。
“这些攻击背后的网络犯罪分子的适应能力使SYS01信息窃取器活动特别危险,”Bitdefender表示,“该恶意软件采用沙盒检测技术,如果检测到它正在受控环境中运行(分析人员通常使用这种环境来检查恶意软件),则会停止操作。这使其在许多情况下都能保持不被发现。”
“当网络安全公司开始标记并阻止特定版本的加载程序时,黑客会迅速响应并更新代码。然后,他们推出包含更新恶意软件的新广告,以规避最新的安全措施。”
Eventbrite平台遭钓鱼活动滥用
与此同时,Perception Point详细描述了滥用Eventbrite活动和票务平台来窃取财务或个人信息的钓鱼活动。
这些通过mailto:noreply@events.eventbrite[.]com发送的电子邮件会提示用户点击链接支付未结账单或确认包裹递送地址,然后要求他们输入登录信息和信用卡详情。
攻击之所以能够实现,是因为威胁行为者在服务上注册了合法账户,并通过滥用知名品牌的声誉创建虚假活动,在活动描述或附件中嵌入钓鱼链接,然后将活动邀请发送给目标对象。
“由于电子邮件是通过Eventbrite的验证域名和IP地址发送的,因此它更有可能通过电子邮件过滤器,成功到达收件人的收件箱,”Perception Point表示。
“Eventbrite的发件人域名也增加了收件人打开电子邮件并点击钓鱼链接的可能性。滥用Eventbrite平台使攻击者能够躲避检测,确保更高的送达率和打开率。”
另一种骗局
威胁猎人还注意到,加密货币欺诈事件有所增加,这些欺诈活动冒充各种组织,以虚假的在家工作赚钱机会为诱饵,针对用户。这些未经请求的消息还声称代表合法品牌,如Spotify、TikTok和Temu。活动通过社交媒体、短信和消息应用程序(如WhatsApp和Telegram)展开。同意接受工作的用户会被骗子指示使用推荐码在一个恶意网站上注册,然后要求他们完成各种任务,如提交虚假评论、下订单、在Spotify上播放特定歌曲或预订酒店。
当受害者的虚假佣金账户余额突然变为负数,并被敦促通过投资自己的加密货币来充值以赚取任务奖金时,骗局就开始了。
“只要骗子认为受害者会继续向系统支付,这个恶性循环就会继续下去,”Proofpoint研究人员表示,“如果他们怀疑受害者已经识破了骗局,他们就会锁定其账户并消失。”
这一非法计划被高度确信是由也从事“杀猪盘”(也称为基于恋情的加密货币投资欺诈)的威胁行为者所为。
“与‘杀猪盘’相比,这种工作欺诈为骗子带来的回报虽然较小但更频繁,”Proofpoint表示,“该活动利用知名品牌的认可度,取代了漫长的基于恋情的信任诈骗。”