Мошенники запустили рекламные кампании на Facebook, чтобы распространять вредоносное ПО, маскируясь под загрузку Windows 11. Эти действия угрожают безопасности пользователей.
Методы атаки и распространения
Атакующие использовали платные объявления на Facebook, которые имитировали официальный сайт Microsoft для загрузки Windows 11. Жертвы перенаправлялись на почти идентичные копии страницы загрузки, где им предлагалось скачать установочный файл размером 75 МБ под названием ms-update32.exe, размещенный на GitHub. Фальшивые домены включали ms-25h2-download.pro и другие подобные.
Для обхода защиты использовались геофильтрация и обнаружение песочниц: IP-адреса дата-центров перенаправлялись на google.com, в то время как обычные пользователи получали вредоносный файл. Установщик проверял наличие виртуальных машин и отладчиков, а на реальных машинах извлекал приложение Electron и выполнял обфусцированные PowerShell-скрипты.
Последствия и рекомендации
Вредоносное ПО выполняло инъекции в процессы, удаляло временные файлы и использовало различные методы обфускации и шифрования для затруднения анализа. Атакующие применяли Facebook Pixel для отслеживания и запускали две параллельные рекламные кампании для повышения устойчивости.
Рекомендуется не устанавливать обновления из социальных сетей, немедленно провести полное сканирование с помощью Malwarebytes, сменить пароли с другого чистого устройства, перенести криптовалюту в новый кошелек, сгенерированный на чистом устройстве, заблокировать фишинговые домены на уровне DNS/прокси и следить за выполнением PowerShell-скриптов с -ExecutionPolicy Unrestricted.
Comments (0)