Злоумышленники размещают рекламу, которая продвигает темы для Windows, бесплатные загрузки игр и программные активации для популярных приложений, таких как Photoshop, Microsoft Office и Windows.
Реклама на Facebook
Эти объявления продвигаются через недавно созданные бизнес-страницы Facebook или путем захвата существующих. При использовании захваченных страниц злоумышленники переименовывают их в соответствии с темой своей рекламы и продвигают загрузки среди существующих участников страницы.
«Злоумышленники принимают на себя бизнес-идентичность, переименовывая страницы Facebook, что позволяет им использовать существующую базу подписчиков для значительного увеличения охвата своей мошеннической рекламы», — говорится в отчете Trustwave.
«Стоит отметить, что каждая из этих страниц администрировалась лицами, находящимися либо во Вьетнаме, либо на Филиппинах в разные периоды времени.»
Trustwave сообщает, что злоумышленники размещают тысячи объявлений для каждой кампании, с наиболее популярными кампаниями под названиями blue-softs (8100 объявлений), xtaskbar-themes (4300 объявлений), newtaskbar-themes (2200 объявлений) и awesome-themes-desktop (1100 объявлений).
Когда пользователь Facebook нажимает на объявление, он попадает на веб-страницы, размещенные на Google Sites или True Hosting, которые притворяются страницами загрузки рекламируемого контента.
Страницы True Hosting в основном используются для продвижения сайта Blue-Software, который предлагает якобы бесплатные загрузки программ и игр.
Нажатие на кнопки «Загрузить» приводит к загрузке ZIP-архива, названного в честь конкретного элемента. Например, загрузка поддельных тем для Windows доставит архив под названием «AwesomeThemesforWin1011.zip», а Photoshop будет называться «AdobePhotoshop_2023.zip».
Хотя пользователи могут думать, что они получают бесплатное приложение, игру или тему для Windows, архив на самом деле содержит вредоносное ПО SYS01 для кражи информации.
Это вредоносное ПО было впервые обнаружено Morphisec в 2022 году и использует набор исполняемых файлов, DLL, скриптов PowerShell и PHP для установки вредоносного ПО и кражи данных с зараженного компьютера.
Когда основной исполняемый файл архива загружается, он использует DLL sideloading для загрузки вредоносной DLL, которая начинает настройку операционной среды вредоносного ПО.
Это включает запуск скриптов PowerShell для предотвращения работы вредоносного ПО в виртуализированной среде с целью уклонения от обнаружения, добавление исключений папок в Windows Defender и настройку операционной среды PHP для загрузки вредоносных PHP-скриптов.
Основная полезная нагрузка вредоносного ПО SYS01 состоит из PHP-скриптов, которые создают запланированные задачи для сохранения и кражи данных с устройства.
Украденные данные включают файлы cookie браузера, сохраненные в браузере учетные данные, историю браузера и криптовалютные кошельки.
Вредоносное ПО также включает задачу, которая использует файлы cookie Facebook, найденные на устройстве, для кражи информации об учетной записи с социальной сети:
- Извлекает личную информацию профиля, такую как имя, электронная почта и дата рождения.
- Получает подробные данные рекламного аккаунта, включая расходы и методы оплаты.
- Данные о бизнесах, рекламных аккаунтах и бизнес-пользователях, подчеркивая глубину доступа к коммерческим и конфиденциальным финансовым данным.
- Детали о страницах Facebook, управляемых пользователем, включая количество подписчиков и роли.
