Эксперты компании Truswave рассказали, что с помощью рекламы в Facebook*, сообщений в LinkedIn и YouTube хакеры продвигают инфостилер SYS01. Уточняется, что вредоносная реклама с продвижением вредоносного ПО в Google — хорошо известная угроза, но её можно встретить и на других популярных онлайн-ресурсах, таких как Facebook, LinkedIn и YouTube.
Исследователи Truswave отметили, что в большинстве рекламных объявлений жертва будет перенаправлена на один из двух хостинговых сайтов, Google Sites или True Hosting. Затем она перенаправляется на другой динамически сгенерированный URL, который ведёт к вредоносному ZIP-файлу. Файл автоматически загружается, но его должна запустить жертва. Вредоносная программа использует DLL sideloading для загрузки и выполнения вредоносного кода, различные тактики для предотвращения обнаружения программным обеспечением безопасности, скрывает файлы и каталоги, которые позволяют ей функционировать, и использует запланированные задачи для достижения устойчивости.
Вредоносная программа способна красть файлы cookie (веб-сеанса), данные входа в систему и настройки, хранящиеся в самых разных браузерах, используемых по всему миру: Chrome, Firefox, Opera, Brave, Cốc Cốc, Yandex Browser, Orbitum, CentBrowser и других. Вредонос SYS01 также может извлекать информацию (личные данные, способы оплаты, количество подписчиков и т. д.) из различных типов учётных записей Facebook, к которым осуществляется доступ со взломанного компьютера.
«Вредоносная кампания SYS01 наблюдалась ещё в сентябре 2023 года и активна по сей день», — отметили исследователи Truswave. Её долговечность обусловлена постоянной эволюцией тактик и используемых объявлений. В настоящее время вредоносная реклама в основном продвигает темы Windows, темы панели задач Windows, взломанные игры, модель genAI для преобразования текста в видео (Sora AI), (якобы) быстрый способ «разблокировать подлинные лицензии для Windows, Office, Photoshop в один клик!» и программное обеспечение для создания 3D-изображений. Как правило, приманкой часто становятся взломанные версии популярных игр, мультимедийных приложений (например, Adobe Photoshop) и различных бизнес-приложений.
Полная версия отчёта доступна здесь.
*принадлежит корпорации Meta, которая признана в РФ экстремистской и её деятельность в стране запрещена.
Оригинал публикации на сайте CISOCLUB: "Truswave: стилер SYS01 хакеры продвигают через рекламу в Facebook*, сообщения в LinkedIn и YouTube".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.
