Chiến dịch quảng cáo độc hại chiếm đoạt tài khoản Facebook để phát tán phần mềm độc hại SYS01stealer

Chiến dịch quảng cáo độc hại chiếm đoạt tài khoản Facebook để phát tán phần mềm độc hại SYS01stealer

Các nhà nghiên cứu an ninh mạng đã phát hiện ra một chiến dịch quảng cáo độc hại đang diễn ra, lợi dụng nền tảng quảng cáo của Meta và chiếm đoạt tài khoản Facebook để phân phối thông tin được gọi là SYS01stealer.

Chiến dịch quảng cáo độc hại chiếm đoạt tài khoản Facebook để phát tán phần mềm độc hại SYS01stealer

"Những tin tặc đứng sau chiến dịch này sử dụng các thương hiệu đáng tin cậy để mở rộng phạm vi tiếp cận của chúng", Bitdefender Labs cho biết trong một báo cáo được chia sẻ với The Hacker News.

"Chiến dịch quảng cáo độc hại này tận dụng gần một trăm tên miền độc hại, không chỉ được sử dụng để phân phối phần mềm độc hại mà còn cho các hoạt động chỉ huy và kiểm soát (C2) trực tiếp, cho phép các tác nhân đe dọa quản lý cuộc tấn công theo thời gian thực".

SYS01stealer lần đầu tiên được Morphisec ghi nhận vào đầu năm 2023, mô tả các chiến dịch tấn công nhắm vào các tài khoản doanh nghiệp trên Facebook bằng cách sử dụng quảng cáo của Google và các hồ sơ Facebook giả mạo để quảng bá trò chơi, nội dung dành cho người lớn và phần mềm đã bẻ khóa.

Giống như các phần mềm độc hại đánh cắp khác, mục tiêu cuối cùng là đánh cắp thông tin đăng nhập, lịch sử duyệt web và cookie. Nhưng nó cũng tập trung vào việc lấy dữ liệu quảng cáo trên Facebook và tài khoản doanh nghiệp, sau đó được sử dụng để phát tán phần mềm độc hại xa hơn thông qua các quảng cáo giả mạo.

"Các tài khoản Facebook bị chiếm đoạt đóng vai trò là nền tảng để mở rộng toàn bộ hoạt động", Bitdefender lưu ý. "Mỗi tài khoản bị xâm phạm có thể được sử dụng lại để quảng cáo thêm các quảng cáo độc hại, khuếch đại phạm vi tiếp cận của chiến dịch mà không cần tin tặc phải tự tạo tài khoản Facebook mới."

Phương thức chính mà SYS01stealer được phân phối là thông qua quảng cáo độc hại trên các nền tảng như Facebook, YouTube và LinkedIn, với các quảng cáo quảng bá chủ đề Windows, trò chơi, phần mềm AI, trình chỉnh sửa ảnh, VPN và dịch vụ phát trực tuyến phim. Phần lớn các quảng cáo trên Facebook được thiết kế để nhắm mục tiêu đến nam giới từ 45 tuổi trở lên.

"Điều này thực sự dụ dỗ nạn nhân nhấp vào các quảng cáo này và dữ liệu trình duyệt của họ bị đánh cắp", Trustwave cho biết trong một phân tích về phần mềm độc hại vào tháng 7 năm 2024.

"Nếu có thông tin liên quan đến Facebook trong dữ liệu, thì không chỉ dữ liệu trình duyệt của họ bị đánh cắp mà tài khoản Facebook của họ còn có khả năng bị các tác nhân đe dọa kiểm soát để tiếp tục phát tán quảng cáo độc hại và tiếp tục chu kỳ này".

Người dùng cuối cùng tương tác với các quảng cáo sẽ được chuyển hướng đến các trang web lừa đảo được lưu trữ trên Google Sites hoặc True Hosting, mạo danh các thương hiệu và ứng dụng hợp pháp để cố gắng bắt đầu lây nhiễm. Các cuộc tấn công cũng được biết là sử dụng các tài khoản Facebook bị chiếm đoạt để đăng quảng cáo gian lận.

Tải trọng giai đoạn đầu tiên được tải xuống từ các trang web này là một tệp ZIP bao gồm một tệp thực thi lành tính, được sử dụng để tải một tệp DLL độc hại chịu trách nhiệm giải mã và khởi chạy quy trình nhiều giai đoạn.

Điều này bao gồm chạy các lệnh PowerShell để ngăn phần mềm độc hại chạy trong môi trường hộp cát, sửa đổi cài đặt Microsoft Defender Antivirus để loại trừ một số đường dẫn nhất định nhằm tránh bị phát hiện và thiết lập môi trường hoạt động để chạy trình đánh cắp dựa trên PHP.

Trong chuỗi tấn công mới nhất được chuyên gia an ninh mạng quan sát thấy, các tệp ZIP được nhúng vào ứng dụng Electron, cho thấy rằng các tác nhân đe dọa liên tục phát triển các chiến lược của chúng.

Ngoài ra, trong Atom Shell Archive (ASAR) còn có một tệp JavaScript ("main.js") hiện thực thi các lệnh PowerShell để thực hiện kiểm tra hộp cát và thực thi kẻ đánh cắp. Sự bền bỉ trên máy chủ đạt được bằng cách thiết lập các tác vụ theo lịch trình.

"Khả năng thích ứng của tội phạm mạng đằng sau các cuộc tấn công này khiến chiến dịch đánh cắp thông tin SYS01 trở nên đặc biệt nguy hiểm", Bitdefender cho biết. "Phần mềm độc hại sử dụng tính năng phát hiện hộp cát, dừng hoạt động nếu phát hiện ra nó đang được chạy trong môi trường được kiểm soát, thường được các nhà phân tích sử dụng để kiểm tra phần mềm độc hại. Điều này cho phép nó không bị phát hiện trong nhiều trường hợp".

"Khi các công ty an ninh mạng bắt đầu đánh dấu và chặn một phiên bản cụ thể của trình tải, tin tặc sẽ phản ứng nhanh chóng bằng cách cập nhật mã. Sau đó, chúng đưa ra các quảng cáo mới có phần mềm độc hại đã cập nhật để né tránh các biện pháp bảo mật mới nhất".

Hương – Theo TheHackerNews

Tin liên quan:

Standard Post with Image

Thông báo thời gian kì nghỉ công ty năm 2024

NTS xin thông báo đến Quý khách hàng thời gian kì nghỉ của công ty năm 2024 từ Thứ Bảy 30/11/2024 đến thứ Hai 02/12/2024. Chúng tôi làm việc trở lại...

Chi tiết
Standard Post with Image

Bộ công cụ lừa đảo mới Xiū gǒu nhắm vào người dùng trên năm quốc gia với 2.000 trang web giả mạo

Các nhà nghiên cứu an ninh mạng đã tiết lộ một bộ công cụ lừa đảo mới đã được sử dụng trong các chiến dịch nhắm vào Úc, Nhật Bản, Tây Ban Nha, Vương...

Chi tiết
Standard Post with Image

Tính năng Email được bảo vệ mới của Gmail cho phép người dùng tạo bí danh để bảo mật email

Google đang chuẩn bị một tính năng mới có tên là Shielded Email cho phép người dùng tạo bí danh email khi đăng ký dịch vụ trực tuyến và chống thư rác...

Chi tiết