Badacze z firmy Bitdefender Labs zajmującej się bezpieczeństwem cybernetycznym ujawnili, że cyberprzestępcy kierują się obecnie do użytkowników Facebooka za pomocą nowej kampanii wykorzystującej sieć reklamową Meta do rozprzestrzeniania szkodliwego oprogramowania służącego do kradzieży informacji SYS01.
W swoim najnowszym raporcie badacze z Bifender Lab, Ionut Alexandru, BALTARIU Nicolae POSTOLACHI Alina BÎZGí, ujawnili, że napastnicy podszywają się pod znane marki, takie jak Netflix, Office 365 i CapCut, aby nakłonić użytkowników do pobrania złośliwego oprogramowania.
Celem tej kampanii, skierowanej głównie do starszych użytkowników płci męskiej, jest przejmowanie kont i zbieranie danych osobowych od niczego niepodejrzewających ofiar.
Podszywanie się pod popularne marki
Raport Bitdefender podkreśla, że hakerzy wykorzystują reklamy na Facebooku do imitowania legalnego oprogramowania popularnych marek.
Fałszywe reklamy promują Netflix za pomocą kuszących twierdzeń, takich jak „bezpłatne przesyłanie strumieniowe bez reklam”, a także narzędzia zwiększające produktywność i edycję, wirtualne sieci prywatne (VPN), aplikacje do przesyłania wiadomości, a nawet gry wideo.
„Te reklamy odsyłają użytkowników do MediaFire, usługi przechowywania danych w chmurze, umożliwiającej bezpośrednie pobranie złośliwego pliku ZIP.
„Plik zawiera aplikację Electron z osadzonym złośliwym oprogramowaniem SYS01, które działa w tle imitując wygląd reklamowanej aplikacji” – stwierdzono w raporcie.
Szkodnik i jego sposób działania
W raporcie wyjaśniono, że złośliwe oprogramowanie SYS01 ma na celu uniknięcie wykrycia przez narzędzia bezpieczeństwa, wykorzystując kilka taktyk, takich jak wykrywanie w piaskownicy i aktualizacje w czasie rzeczywistym z serwerów dowodzenia i kontroli.
- Badacze Bitdefender dodali, że kiedy firmy zajmujące się cyberbezpieczeństwem zaczynają blokować konkretną wersję modułu ładującego złośliwe oprogramowanie, hakerzy szybko modyfikują kod, wypuszczając nowe reklamy, które omijają najnowsze aktualizacje zabezpieczeń.
- W ten sposób cyberprzestępcy ukrywają złodzieja informacji SYS01 przed narzędziami cyberbezpieczeństwa, przedłużając żywotność szkodliwego oprogramowania na platformach Meta.
- Celem tej kampanii jest przede wszystkim uzyskanie dostępu do kont użytkowników na Facebooku, ze szczególnym uwzględnieniem stron biznesowych.
- Po włamaniu konta te zapewniają cyberprzestępcom platformę do uruchamiania dodatkowych złośliwych reklam, zwiększając ich zasięg bez wzbudzania natychmiastowych podejrzeń.
- Bitdefender zidentyfikował prawie 100 domen powiązanych z tą kampanią, która ma zasięg globalny i dotyka potencjalnych ofiar w Europie, Ameryce Północnej, Australii i Azji.
Co powinieneś wiedzieć
- Szkodnik wykryty po raz pierwszy we wrześniu 2024 r. dotknął już miliony użytkowników Facebooka na całym świecie, ze szczególnym uwzględnieniem starszych mężczyzn w wieku 45 lat i starszych.
- Bitdefender ostrzega, że kampania złośliwego oprogramowania SYS01 wciąż ewoluuje, a nowe reklamy pojawiają się codziennie, aby dotrzeć do jeszcze większej liczby użytkowników.
- To nowe zagrożenie ponownie uwydatniło znaczenie zachowania czujności podczas klikania reklam lub pobierania oprogramowania, nawet z pozornie legalnych platform.
- Ponieważ firmy zajmujące się cyberbezpieczeństwem nieustannie walczą, aby nadążać za stale ewoluującymi taktykami, użytkownicy Facebooka powinni zachować ostrożność w przypadku nieoczekiwanych ofert lub reklam, zwłaszcza tych obiecujących bezpłatne usługi popularnych marek.
