Malvertisingcampagne kaapt Facebook-accounts om SYS01stealer-malware te verspreiden

Cybersecurity-onderzoekers hebben een voortdurende malvertisingcampagne ontdekt die misbruik maakt van het advertentieplatform van Meta en Facebook-accounts heeft gekaapt om informatie te verspreiden die bekend staat als SYS01stealer.

“De hackers achter de campagne gebruiken vertrouwde merken om hun bereik te vergroten”, zegt Bitdefender Labs in een rapport gedeeld met The Hacker News.

“De malvertisingcampagne maakt gebruik van bijna honderd kwaadaardige domeinen, die niet alleen worden gebruikt voor het verspreiden van de malware, maar ook voor live command and control (C2)-operaties, waardoor bedreigingsactoren de aanval in realtime kunnen beheren.”

SYS01stealer werd begin 2023 voor het eerst gedocumenteerd door Morphisec en beschreef aanvalscampagnes gericht op zakelijke Facebook-accounts met behulp van Google-advertenties en nep-Facebook-profielen die games, inhoud voor volwassenen en gekraakte software promoten.

Net als bij andere stealer-malware is het einddoel het stelen van inloggegevens, browsegeschiedenis en cookies. Maar het is ook gericht op het verkrijgen van gegevens over Facebook-advertenties en zakelijke accounts, die vervolgens worden gebruikt om de malware verder te verspreiden via nepadvertenties.

“De gekaapte Facebook-accounts dienen als basis voor het opschalen van de hele operatie”, aldus Bitdefender. “Elk gecompromitteerd account kan worden hergebruikt om extra kwaadaardige advertenties te promoten, waardoor het bereik van de campagne wordt vergroot zonder dat de hackers zelf nieuwe Facebook-accounts hoeven aan te maken.”

De primaire vector waarmee SYS01stealer wordt verspreid is via malvertising op platforms zoals Facebook, YouTube en LinkedIn, waarbij de advertenties Windows-thema’s, games, AI-software, foto-editors, VPN’s en filmstreamingdiensten promoten. Een meerderheid van de Facebook-advertenties is ontworpen om mannen van 45 jaar en ouder te targeten.

“Dit verleidt slachtoffers effectief om op deze advertenties te klikken en hun browsergegevens te laten stelen”, zei Trustwave in een analyse van de malware in juli 2024.

“Als er Facebook-gerelateerde informatie in de gegevens zit, bestaat de mogelijkheid dat niet alleen hun browsergegevens worden gestolen, maar ook dat hun Facebook-accounts worden gecontroleerd door de bedreigingsactoren om malvertises verder te verspreiden en de cyclus voort te zetten.”

Gebruikers die uiteindelijk interactie hebben met de advertenties, worden omgeleid naar misleidende sites die worden gehost op Google Sites of True Hosting en die zich voordoen als legitieme merken en applicaties in een poging de infectie te initiëren. Het is ook bekend dat de aanvallen gekaapte Facebook-accounts gebruiken om frauduleuze advertenties te publiceren.

SYS01stealer-malware

De payload van de eerste fase die van deze sites wordt gedownload, is een ZIP-archief dat een goedaardig uitvoerbaar bestand bevat, dat wordt gebruikt om een ​​kwaadaardige DLL te sideloaden die verantwoordelijk is voor het decoderen en starten van het meerfasige proces.

Dit omvat het uitvoeren van PowerShell-opdrachten om te voorkomen dat de malware in een sandbox-omgeving wordt uitgevoerd, het wijzigen van de instellingen van Microsoft Defender Antivirus om bepaalde paden uit te sluiten om detectie te voorkomen, en het opzetten van een besturingsomgeving om de op PHP gebaseerde stealer uit te voeren.

In de nieuwste aanvalsketens die het Roemeense cyberbeveiligingsbedrijf heeft waargenomen, zijn de ZIP-archieven ingebed in een Electron-applicatie, wat erop wijst dat de dreigingsactoren hun strategieën voortdurend ontwikkelen.

SYS01stealer-malware

Ook aanwezig in het Atom Shell Archive (ASAR) is een JavaScript-bestand (“main.js”) dat nu de PowerShell-opdrachten uitvoert om sandbox-controles uit te voeren en de stealer uit te voeren. Persistentie op de host wordt bereikt door geplande taken in te stellen.

“Het aanpassingsvermogen van de cybercriminelen achter deze aanvallen maakt de SYS01 infostealer-campagne bijzonder gevaarlijk”, aldus Bitdefender. “De malware maakt gebruik van sandbox-detectie en stopt zijn activiteiten als hij merkt dat hij in een gecontroleerde omgeving wordt uitgevoerd, die vaak door analisten wordt gebruikt om malware te onderzoeken. Hierdoor kan de malware in veel gevallen onopgemerkt blijven.”

“Wanneer cyberbeveiligingsbedrijven een specifieke versie van de loader beginnen te markeren en blokkeren, reageren de hackers snel door de code bij te werken. Vervolgens plaatsen ze nieuwe advertenties met bijgewerkte malware die de nieuwste beveiligingsmaatregelen omzeilt.”

Phishingcampagnes maken misbruik van Eventbrite

De ontwikkeling komt doordat Perception Point gedetailleerde phishing-campagnes heeft uitgevoerd die het Eventbrite-evenementen- en ticketingplatform misbruiken om financiële of persoonlijke informatie te stelen.

In de e-mails, afgeleverd via [email protected](.)com, worden gebruikers gevraagd op een link te klikken om een ​​openstaande factuur te betalen of hun pakketafleveradres te bevestigen, waarna hen wordt gevraagd hun login- en creditcardgegevens in te voeren.

De aanval zelf wordt mogelijk gemaakt door het feit dat de bedreigingsactoren zich aanmelden voor legitieme accounts op de dienst en nepgebeurtenissen creëren door misbruik te maken van de reputatie van een bekend merk, door de phishing-link in te sluiten in de gebeurtenisbeschrijving of bijlage. De uitnodiging voor het evenement wordt vervolgens naar hun doelen verzonden.

“Omdat de e-mail wordt verzonden via het geverifieerde domein en IP-adres van Eventbrite, is de kans groter dat de e-mailfilters passeren en de inbox van de ontvanger bereiken”, aldus Perception Point.

“Het afzenderdomein van Eventbrite vergroot ook de kans dat ontvangers de e-mail openen en doorklikken naar de phishing-link. Door dit misbruik van het Eventbrite-platform kunnen de aanvallers detectie omzeilen, wat zorgt voor hogere bezorg- en openpercentages.”

Varkensslachting van een ander soort

Bedreigingsjagers vestigen ook de aandacht op een toename van cryptocurrency-fraude waarbij verschillende organisaties worden nagebootst om gebruikers te targeten met valse banen waarmee ze zogenaamd geld kunnen verdienen terwijl ze vanuit huis werken. De ongevraagde berichten beweren ook legitieme merken zoals Spotify, TikTok en Temu te vertegenwoordigen.

De activiteit begint via sociale media, sms en berichtenapps zoals WhatsApp en Telegram. Gebruikers die akkoord gaan met het aannemen van de banen, krijgen van de oplichters de opdracht om zich te registreren op een kwaadwillende website met behulp van een verwijzingscode, waarna hen wordt gevraagd verschillende taken uit te voeren: neprecensies indienen, productbestellingen plaatsen, specifieke nummers afspelen op Spotify of boeken hotels.

De zwendel ontvouwt zich wanneer het valse commissiesaldo van de slachtoffers plotseling negatief wordt en ze worden aangespoord om hun eigen cryptocurrency aan te vullen om zo bonussen te verdienen met de taken.

“Deze vicieuze cirkel zal voortduren zolang de oplichters denken dat het slachtoffer aan het systeem zal blijven betalen”, aldus Proofpoint-onderzoekers. “Als ze vermoeden dat hun slachtoffer op de hoogte is van de zwendel, zullen ze hun account vergrendelen en hen spooken.”

Het illegale plan wordt met veel vertrouwen toegeschreven aan dreigingsactoren die zich ook bezighouden met het slachten van varkens, ook wel bekend als op romantiek gebaseerde investeringsfraude in cryptocurrency.

“De banenfraude levert kleinere maar frequentere opbrengsten op voor de fraudeurs vergeleken met het slachten van varkens”, aldus Proofpoint. “Deze activiteit maakt gebruik van populaire merkherkenning in plaats van een langdurige, op romantiek gebaseerde vertrouwenszwendel.”

Thijs Van der Does