Pesquisadores de cibersegurança descobriram uma campanha de malvertising em andamento que abusa da plataforma de publicidade da Meta e sequestra contas do Facebook para distribuir uma informação conhecida como SYS01stealer.
"Os hackers por trás da campanha usam marcas confiáveis para expandir seu alcance", disse Bitdefender Labs em um relatório compartilhado.
A campanha de malvertising aproveita quase cem domínios maliciosos, utilizados não apenas para distribuir o malware mas também para operações de comando e controle (C2) em tempo real, permitindo que os atores de ameaças gerenciem o ataque em tempo real.
O SYS01stealer foi documentado pela primeira vez pela Morphisec no início de 2023, descrevendo campanhas de ataque que visam contas comerciais do Facebook usando anúncios do Google e perfis falsos do Facebook que promovem jogos, conteúdo adulto e software crackeado.
Como outros malwares stealers, o objetivo final é roubar credenciais de login, histórico de navegação e cookies.
Mas também se concentra em obter dados de anúncios e contas comerciais do Facebook, que são então usados para propagar ainda mais o malware por meio de anúncios falsos.
"As contas do Facebook sequestradas servem como uma base para escalar toda a operação", observou a Bitdefender.
Cada conta comprometida pode ser reaproveitada para promover anúncios maliciosos adicionais, ampliando o alcance da campanha sem que os hackers precisem criar novas contas do Facebook por conta própria.
O vetor principal através do qual o SYS01stealer é distribuído é via malvertising em plataformas como Facebook, YouTube e LinkedIn, com anúncios promovendo temas do Windows, jogos, software de IA, editores de foto, VPNs e serviços de streaming de filmes.
A maioria dos anúncios no Facebook são projetados para visar homens com 45 anos ou mais.
"Isso efetivamente atrai vítimas para clicar nesses anúncios e ter seus dados de navegador roubados", disse Trustwave em uma análise do malware em julho de 2024.
Se há informações relacionadas ao Facebook nos dados, existe a possibilidade de não apenas ter seus dados de navegador roubados, mas também ter suas contas do Facebook controladas pelos atores de ameaças para espalhar ainda mais malvertisements e continuar o ciclo.
Usuários que interagem com os anúncios são redirecionados para sites enganosos hospedados no Google Sites ou True Hosting que se passam por marcas e aplicações legítimas na tentativa de iniciar a infecção.
Os ataques também são conhecidos por usar contas sequestradas do Facebook para publicar anúncios fraudulentos.
O payload da primeira fase baixado desses sites é um arquivo ZIP que inclui um executável benigno, que é usado para carregar lateralmente uma DLL maliciosa responsável por decodificar e iniciar o processo de múltiplas etapas.
Isso inclui a execução de comandos PowerShell para impedir que o malware seja executado em um ambiente sandbox, modificando as configurações do Microsoft Defender Antivirus para excluir certos caminhos e evitar detecção, e configurando um ambiente operacional para executar o stealer baseado em PHP.
Nas últimas cadeias de ataque observadas pela empresa de cibersegurança romena, os arquivos ZIP vêm embutidos com um aplicativo Electron, sugerindo que os atores de ameaças estão continuamente evoluindo suas estratégias.
Também presente dentro do Atom Shell Archive (ASAR) está um arquivo JavaScript ("main.js") que agora executa os comandos PowerShell para realizar verificações de sandbox e executar o stealer.
A persistência no host é alcançada configurando tarefas agendadas.
"A adaptabilidade dos criminosos cibernéticos por trás desses ataques torna a campanha do SYS01 infostealer especialmente perigosa", disse a Bitdefender.
O malware emprega detecção de sandbox, interrompendo suas operações se detectar que está sendo executado em um ambiente controlado, muitas vezes usado por analistas para examinar malware.
Isso permite que ele permaneça não detectado em muitos casos. Quando as empresas de cibersegurança começam a sinalizar e bloquear uma versão específica do loader, os hackers respondem rapidamente atualizando o código.
Eles então lançam novos anúncios com malware atualizado que evita as últimas medidas de segurança. Campanhas de Phishing Abusam do Eventbrite O desenvolvimento surge enquanto a Perception Point detalhou campanhas de phishing que abusam da plataforma de eventos e bilheteria Eventbrite para roubar informações financeiras ou pessoais.
Os e-mails, entregues via [email protected][.]com, solicitam que os usuários cliquem em um link para pagar uma conta pendente ou confirmar seu endereço de entrega de pacote, após o que são solicitados a inserir seus detalhes de login e cartão de crédito.
O ataque é tornado possível pelo fato de que os atores de ameaças se inscrevem para contas legítimas no serviço e criam eventos falsos abusando da reputação de uma marca conhecida, incorporando o link de phishing na descrição do evento ou anexo.
O convite do evento é então enviado para seus alvos.
"Como o email é enviado via domínio e endereço IP verificados do Eventbrite, é mais provável que passe pelos filtros de email, alcançando com sucesso a caixa de entrada do destinatário", disse Perception Point.
O domínio do remetente do Eventbrite também aumenta a probabilidade de que os destinatários abram o email e cliquem no link de phishing.
Esse abuso da plataforma do Eventbrite permite que os atacantes evitem a detecção, garantindo taxas de entrega e abertura mais altas. Pig Butchering de um Tipo Diferente Caçadores de ameaças também estão chamando atenção para um aumento na fraude de criptomoedas que se passa por várias organizações para visar usuários com iscas de emprego falsas que supostamente permitem que eles ganhem dinheiro enquanto trabalham de casa.
As mensagens não solicitadas também afirmam representar marcas legítimas como Spotify, TikTok e Temu.
A atividade começa via mídia social, SMS e aplicativos de mensagens como WhatsApp e Telegram.
Usuários que concordam em aceitar os empregos são instruídos pelos golpistas a se registrar em um site malicioso usando um código de referência, após o qual são solicitados a completar várias tarefas – enviar avaliações falsas, fazer pedidos de produtos, tocar músicas específicas no Spotify ou reservar hotéis.
O golpe se desenrola quando o saldo da conta de comissão falsa das vítimas de repente vai para o negativo e eles são instados a investir sua própria criptomoeda para obter bônus das tarefas.
"Esse ciclo vicioso continuará enquanto os golpistas acharem que a vítima continuará pagando no sistema", disseram os pesquisadores da Proofpoint.
Se eles suspeitarem que sua vítima percebeu o golpe, eles bloquearão sua conta e desaparecerão. O esquema ilícito foi atribuído com alta confiança a atores de ameaças que também conduzem pig butchering, que também é conhecido como fraude de investimento em criptomoedas baseada em romance.
"A fraude de emprego tem retornos menores, mas mais frequentes para os fraudadores em comparação com pig butchering", disse a Proofpoint.
A atividade aproveita o reconhecimento de marcas populares no lugar de um golpe de confiança baseado em romance.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...