SYS01 захватывает Facebook: взломанные аккаунты стали оружием в руках хакеров

Исследователи из компании Bitdefender раскрыли активную кампанию «малвертайзинга», направленную на взлом аккаунтов Facebook * и распространение вредоносного ПО SYS01stealer.

В своей вредоносной активности хакеры используют рекламные инструменты Meta *, чтобы привлекать пользователей и внедрять зловредное ПО, передавая им файлы, содержащие вирус. Эти действия нацелены на захват данных пользователей и бизнес-аккаунтов, что позволяет преступникам и далее беспрепятственно распространять вредоносную рекламу.

Злоумышленники используют известные бренды, чтобы повысить уровень доверия пользователей к фальшивым объявлениям. Через сотни специально созданных доменов осуществляется управление атаками в реальном времени, что позволяет хакерам оперативно манипулировать ходом кампании.

SYS01stealer был впервые обнаружен в начале 2023 года и направлен в первую очередь на кражу данных входа в аккаунты Facebook, а также истории браузера и cookies. По словам Bitdefender, скомпрометированные аккаунты Facebook позволяют хакерам расширять свою деятельность без необходимости создавать новые учётные записи.

Рекламная кампания распространяет SYS01stealer на таких платформах, как Facebook, YouTube и LinkedIn, через объявления, предлагающие, среди прочего, темы для Windows, игры и VPN-сервисы. Целевая аудитория этих объявлений — преимущественно мужчины старше 45 лет, что повышает вероятность вовлечения в мошенническую схему.

Как отмечается в июльском анализе компании Trustwave, пользователи, взаимодействующие с такими объявлениями, перенаправляются на фальшивые сайты, маскирующиеся под известные бренды. При переходе на сайты начинается процесс заражения — пользователи загружают архивы с вредоносным содержимым. Для защиты от обнаружения зловред использует технологии обхода антивирусных программ и запускает PowerShell-команды, которые предотвращают запуск вируса в изолированной среде.

Новые версии SYS01stealer включают обновления, затрудняющие его выявление. Например, вредоносный архив содержит приложение, работающее на платформе Electron, что говорит о том, что преступники продолжают совершенствовать свои методы.

Одновременно с кампаниями по распространению SYS01stealer, специалисты Perception Point зафиксировали волны фишинговых атак, злоупотребляющих репутацией сервиса Eventbrite. Мошенники создают фальшивые мероприятия и направляют письма, побуждающие к оплате или подтверждению данных. Использование доверенного домена Eventbrite повышает шансы на доставку таких писем, поскольку они минуют фильтры и могут достигать пользователей без дополнительных проверок.

* Компания Meta и её продукты признаны экстремистскими, их деятельность запрещена на территории РФ.