В последние месяцы в Facebook (социальная сеть, принадлежащая запрещённой в России и признанной экстремистской американской корпорации Meta) развернулась постоянная вредоносная кампания, использующая доверие к известным криптовалютным биржам для распространения вредоносных программ. Злоумышленники активно создают новые рекламные объявления, имитирующие законные платформы и известных людей в криптовалютном пространстве.
Методы и тактики злоумышленников
Кампания основана на использовании передовых методов, включая:
- Замаскированные интерфейсные скрипты;
- Настраиваемую полезную нагрузку, выдаваемую за доверительные криптовалютные сайты, такие как Binance и TradingView;
- Скрытый канал связи между интерфейсом вредоносного веб-сайта и локальным хостингом, что позволяет останавливаться в тени большинства решений для обеспечения безопасности.
Кроме того, злоумышленники применяют интенсивное подражание бренду, что повышает вероятность успешного клика жертвами. Они также используют сложные тактики отслеживания и уклонения от атак:
- Внедрение мер защиты от вредоносных программ для снижения шансов на распознавание;
- Настройка параметров запросов в рекламе Facebook для определения законной цели, основанной на демографических и поведенческих характеристиках.
Технические детали атаки
Одним из основных элементов кампании является вредоносный “настольный клиент”, обычно называемый «installer.msi», с размером около 800 КБ. После установки он использует процесс msedge_proxy.exe для загрузки веб-страницы криптовалютной платформы, выдающей себя за законную. Вредоносное ПО также устанавливает подозрительный DLL-файл, активирующий локальный сервер на определенных портах, что обеспечивает взаимодействие с интерфейсным скриптом для доставки дополнительных полезных данных.
Важно отметить, что это взаимодействие остается скрытым, а передача данных осуществляется через средства, которые не поддаются обнаружению. Интерфейсный скрипт может выполнять:
- Масштабные операции по утечке данных;
- Выполнение закодированных сценариев PowerShell для загрузки дополнительных вредоносных данных с серверов управления (C2).
Заключение и рекомендации
Эта гибридная кампания сочетает интерфейсный обман с вредоносным сервисом на базе локального хостинга и постоянно адаптируется к системе жертвы. Анализ безопасности показал, что многочисленные уровни обфускации и динамическое отображение контента делают эту кампанию особенно сложной для анализа.
Как подчеркивают специалисты Bitdefender Labs, было зафиксировано ограниченное количество успешных попыток обнаружения элементов вредоносного ПО. Поэтому настоятельно рекомендуется пользователям:
- Повышать бдительность в отношении онлайн-рекламы;
- С осторожностью загружать программное обеспечение только с официальных веб-сайтов;
- Использовать надежные решения для обеспечения безопасности.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Кибератака через Facebook: вредоносные программы под видом криптобирж".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.