Цифровые бандиты используют для доставки своего софта вредоносную рекламу в социальных сетях.
Согласно недавнему отчёту Guardio Labs, неизвестные злоумышленники из Вьетнама стоят за нашумевшей кампанией размещения вредоносной рекламы на платформах социальных сетей. За последние три месяца киберпреступникам удалось заразить более 500 000 устройств по всему миру, а сама полезная нагрузка включает похитители данных S1deload Stealer и SYS01stealer.
Под вредоносным рекламным размещением понимается использование продвигаемых фишинговых постов, которые появляются прямо в новостной ленте социальных сетей. Злоумышленники нацелились на такие сервисы, как Facebook * и Twitter **, для массового распространения вредоносного программного обеспечения и других угроз безопасности. Идея состоит в том, чтобы охватить как можно более широкую аудиторию, вкладывая деньги в рекламу.
По данным Guardio Labs, такие атаки обычно начинаются с того, что злоумышленник создаёт новые бизнес-профили или захватывает уже популярные аккаунты для показа вредоносной рекламы. После нажатия на рекламный баннер, жертвам предлагается скачать фотоальбом, содержащий множество фотографий эротического содержания. Ох уж эти киберпреступники, знают, на что надавить!
Рекламный пост в Facebook и ZIP-архив с «эротическими фотографиями»
Внутри ZIP-архива, предположительно, находятся изображения, которые на самом деле являются исполняемыми файлами. При их запуске жертва активирует цепочку заражения и, в конечном итоге, внедряет похититель данных в свою Windows-систему. Вредонос способен похищать сеансовые cookie-файлы (что даёт прямой доступ к текущему сеансу профиля жертвы), данные учётной записи и прочую информацию.
Цепочка атак очень эффективна, поскольку создаёт своеобразный «порочный круг», в котором информация, украденная с помощью инфостилера, используется для публикации рекламы со свежевзломанных Facebook-аккаунтов.
Также было обнаружено, что злоумышленники, чтобы не попасть в поле зрения модерации Facebook, выдают недавно созданные бизнес-профили за аккаунты ню-фотографов. Большинство случаев заражения были зарегистрированы в Австралии, Канаде, Индии, Великобритании и США.
Сообщается, что метод, с помощью которого внедряется программа-похититель на основе PHP, постоянно развивается, чтобы включать в себя больше функций уклонения от обнаружения. Предполагается, что исполнитель, стоящий за данной вредоносной кампанией, активно совершенствует и переоснащает свою тактику в ответ на публичное раскрытие информации.
В конце апреля стало известно, что компания по кибербезопасности Group-IB раскрыла подробности другой фишинговой операции, нацеленной на пользователей Facebook. Злоумышленники создавали поддельные сайты-подражатели, предназначенные для кражи учётных данных пользователей и захвата их профилей.
И если от кражи учётных данных зачастую спасает двухфакторная аутентификация, то от перехвата сеансовых cookie-файлов мало что поможет. В связи с этим, точно не стоит скачивать подозрительные файлы сомнительного характера на свой компьютер, особенно из рекламных постов Facebook или других социальных сетей. Тот факт, что реклама появляется на официальном сайте крупной компании, не даёт никаких гарантий, что она не будет использована киберпреступниками в своих целях.
* Компания Meta и её продукты (Instagram и Facebook) признаны экстремистскими, их деятельность запрещена на территории РФ.
* Социальная сеть запрещена на территории Российской Федерации.
Гравитация научных фактов сильнее, чем вы думаете