Pesquisadores de segurança cibernética descobriram uma campanha contínua de malvertising que abusa da plataforma de publicidade Meta e sequestra contas do Fb para distribuir informações conhecidas como SYS01stealer.
“Os hackers por trás da campanha usam marcas confiáveis para expandir seu alcance”, disse o Bitdefender Labs em um relatório compartilhado com o The Hacker Information.
“A campanha de malvertising aproveita quase uma centena de domínios maliciosos, utilizados não apenas para distribuir o malware, mas também para operações de comando e controle (C2) ao vivo, permitindo que os agentes de ameaças gerenciem o ataque em tempo actual.”
SYS01stealer foi documentado pela primeira vez pela Morphisec no início de 2023, descrevendo campanhas de ataque direcionadas a contas comerciais do Fb usando anúncios do Google e perfis falsos do Fb que promovem jogos, conteúdo adulto e software program crackeado.
Como outros malwares ladrões, o objetivo last é roubar credenciais de login, histórico de navegação e cookies. Mas também está focado na obtenção de dados de anúncios e contas comerciais do Fb, que são então usados para propagar ainda mais o malware por meio de anúncios falsos.
“As contas sequestradas do Fb servem como base para ampliar toda a operação”, observou Bitdefender. “Cada conta comprometida pode ser reaproveitada para promover anúncios maliciosos adicionais, ampliando o alcance da campanha sem que os hackers precisem criar eles próprios novas contas no Fb.”
O principal vetor através do qual o SYS01stealer é distribuído é através de malvertising em plataformas como Fb, YouTube e LinkedIn, com os anúncios promovendo temas do Home windows, jogos, software program de IA, editores de fotos, VPNs e serviços de streaming de filmes. A maioria dos anúncios do Fb é projetada para atingir homens com 45 anos ou mais.
“Isso efetivamente atrai as vítimas a clicar nesses anúncios e a ter os dados do navegador roubados”, disse a Trustwave em uma análise do malware em julho de 2024.
“Se houver informações relacionadas ao Fb nos dados, existe a possibilidade não apenas de ter os dados do navegador roubados, mas também de ter suas contas do Fb controladas pelos atores da ameaça para espalhar ainda mais anúncios maliciosos e continuar o ciclo”.
Os usuários que acabam interagindo com os anúncios são redirecionados para websites enganosos hospedados no Google Websites ou True Internet hosting que se fazem passar por marcas e aplicativos legítimos na tentativa de iniciar a infecção. Os ataques também são conhecidos por usar contas sequestradas do Fb para publicar anúncios fraudulentos.
A carga útil do primeiro estágio baixada desses websites é um arquivo ZIP que inclui um executável benigno, que é usado para carregar uma DLL maliciosa responsável por decodificar e iniciar o processo de vários estágios.
Isso inclui a execução de comandos do PowerShell para evitar que o malware seja executado em um ambiente de área restrita, modificando as configurações do Microsoft Defender Antivirus para excluir determinados caminhos para evitar a detecção e configurando um ambiente operacional para executar o ladrão baseado em PHP.
Nas últimas cadeias de ataques observadas pela empresa romena de cibersegurança, os arquivos ZIP vêm incorporados com uma aplicação Electron, sugerindo que os atores da ameaça estão continuamente a evoluir as suas estratégias.
Também presente no Atom Shell Archive (ASAR) está um arquivo JavaScript (“principal.js”) que agora executa os comandos do PowerShell para realizar verificações de sandbox e executar o ladrão. A persistência no host é obtida através da configuração de tarefas agendadas.
“A adaptabilidade dos cibercriminosos por trás desses ataques torna a campanha do infostealer SYS01 especialmente perigosa”, disse Bitdefender. “O malware emprega detecção de sandbox, interrompendo suas operações se detectar que está sendo executado em um ambiente controlado, frequentemente usado por analistas para examinar malware.
“Quando as empresas de segurança cibernética começam a sinalizar e bloquear uma versão específica do carregador, os hackers respondem rapidamente atualizando o código. Eles então publicam novos anúncios com malware atualizado que foge das medidas de segurança mais recentes”.
Abuso de campanhas de phishing Eventbrite
O desenvolvimento ocorre quando a Notion Level detalha campanhas de phishing que usam indevidamente os eventos e a plataforma de ingressos da Eventbrite para roubar informações financeiras ou pessoais.
Os e-mails, entregues by way of noreply@occasions.eventbrite(.)com, solicitam que os usuários cliquem em um hyperlink para pagar uma fatura pendente ou confirmar o endereço de entrega do pacote, após o que são solicitados a inserir seus dados de login e cartão de crédito.
O ataque em si é possível porque os agentes da ameaça se inscrevem em contas legítimas no serviço e criam eventos falsos, abusando da reputação de uma marca conhecida, incorporando o hyperlink de phishing na descrição ou anexo do evento. O convite do evento é então enviado aos seus alvos.
“Como o e-mail é enviado através do domínio verificado e endereço IP da Eventbrite, é mais provável que ele passe pelos filtros de e-mail, chegando com sucesso à caixa de entrada do destinatário”, disse Notion Level.
“O domínio do remetente da Eventbrite também aumenta a probabilidade de os destinatários abrirem o e-mail e clicarem no hyperlink de phishing. Esse abuso da plataforma da Eventbrite permite que os invasores evitem a detecção, garantindo maiores taxas de entrega e abertura.”
Abate de porcos de um tipo diferente
Os caçadores de ameaças também estão chamando a atenção para um aumento nas fraudes com criptomoedas que se fazem passar por várias organizações para atingir os usuários com iscas de emprego falsas que supostamente lhes permitem ganhar dinheiro enquanto trabalham em casa. As mensagens não solicitadas também afirmam representar marcas legítimas como Spotify, TikTok e Temu.
A atividade começa por meio de mídias sociais, SMS e aplicativos de mensagens como WhatsApp e Telegram. Os usuários que concordam em aceitar os empregos são instruídos pelos golpistas a se registrarem em um web site malicioso usando um código de referência, após o qual são solicitados a concluir várias tarefas – enviar avaliações falsas, fazer pedidos de produtos, tocar músicas específicas no Spotify ou reservar. hotéis.
O golpe se desenrola quando o saldo da conta de comissão falsa das vítimas repentinamente fica negativo e elas são incentivadas a recarregar investindo sua própria criptomoeda para ganhar bônus pelas tarefas.
“Este ciclo vicioso continuará enquanto os golpistas acharem que a vítima continuará pagando no sistema”, disseram os pesquisadores da Proofpoint. “Se eles suspeitarem que sua vítima percebeu o golpe, eles bloquearão sua conta e os transformarão em fantasmas.”
O esquema ilícito foi atribuído com grande confiança a atores ameaçadores que também realizam abate de porcos, o que também é conhecido como fraude de investimento em criptomoeda baseada em romance.
“A fraude laboral tem retornos menores, mas mais frequentes para os fraudadores, em comparação com o abate de porcos”, disse Proofpoint. “A atividade alavanca o reconhecimento fashionable da marca no lugar de um longo golpe de confiança baseado no romance.”