Infostealer malware je vrsta malicioznog softvera dizajniranog da se infiltrira u kompjuterske sisteme i izvuče osjetljive informacije. Kada se podaci prikupe, šalju se na udaljene servere koje kontrolišu hakeri i često se preprodaju na „mračnim web tržištima“.
Istraživači kibernetičke sigurnosti u Bitdefender-u nedavno su otkrili da maliciozni softver SYS01 infostealer aktivno napada Meta poslovne stranice kako bi ukrao prijave.
SYS01 InfoStealer Malware napada Mera Business
Pronađeni su akteri prijetnji kako usmjeravaju sofisticiranu kampanju malicioznog oglašavanja preko Metine reklamne platforme kako bi distribuirali zlonamjerni softver “SYS01” InfoStealer lažno predstavljajući pouzdane brendove.Ova kampanja je pokrenuta u septembru i koristi algoritme oglašavanja na društvenim mrežama kreiranjem obmanjujućih reklama koje se maskiraju kao „legitimno preuzimanje softvera“ od renomiranih kompanija i popularnih naslova igara kao što su:-
- Adobe Photoshop
- Canva
- CapCut
- Express VPN
- Netflix
- Super Mario Bros Wonder
- Crni mit: Vukong
.webp)
Maliciozni softver je dizajniran za krađu ličnih podataka i kredencijala i distribuiše se putem mreže od hiljada “zlonamjernih reklama” koje su potencijalno dosegle milione korisnika. Ovdje je primarni fokus na ciljanju „demografske kategorije starijih muškaraca“.
Infrastruktura napada koristi višestruke maliciozne domene koje funkcioniraju kao “lažne platforme za preuzimanje” korištenjem različitih mehanizama distribucije koji se vremenom razvijaju kako bi se izbjeglo otkrivanje.
Sofisticirana priroda kampanje je očigledna u njenoj sposobnosti da održi uporne operacije putem „otetih naloga“, „generičkih tehnika lažnog predstavljanja“ i „strateškog postavljanja reklama“ koje mogu ostati aktivne nedeljama.
Zbog toga je za prosječne korisnike teže napraviti razliku između “legitimne ponude softvera” i “malicioznog sadržaja”.
Iako ovo predstavlja zabrinjavajuću evoluciju u sajber prijetnjama gdje se tradicionalne platforme za oglašavanje naoružavaju kako bi se olakšala „distribucija malicioznog softvera velikih razmjera“.
Maliciozni softver koji se distribuiše putem obmanjujućih reklama preusmjerava korisnike na “MediaFire” preuzimanja koja sadrže maliciozne aplikacije “bazirane na elektronima”.
Ove aplikacije su upakovane u “.zip” arhive koje sadrže “ASAR” datoteke u kojima se nalaze osnovne maliciozne komponente, “zamagljeni main.js JavaScript fajl”, “PowerShell skripte” i “arhive zaštićene lozinkom”.
Lanac zaraze malicioznog softverom počinje kada se JavaScript kod raspakira i izvrši dodatne komponente koristeći alate kao što je “7zip” dok implementira mjere “anti-sandbox” provjeravanjem GPU modela u odnosu na unaprijed definiranu listu.
Nakon što se izvrši, maliciozni softver postavlja “PHP skripte” (‘index.php’ i ‘include.php’) kodirane sa “IonCube Loader-om”, koji pomažu u uspostavljanju postojanosti putem “Windows Task Scheduler-a” sa dva ključna zadatka:-
- WDNA (izvršava se svaka dva minuta preko rhc.exe php.exe index.php)
- WDNA_LG (pokreće se prilikom prijave korisnika)
Infostealer komunicira sa C2 serverima koristeći “HTTP pozive” (‘https://{C2_DOMAIN}/api/rss?a=ping’) i koristi “Telegram botove” i “Google stranice” za dinamičko preuzimanje C2 domena.
Njegov primarni cilj je izdvajanje osjetljivih podataka uz korištenje SQL naredbi poput “SELECT * FROM moz_cookies” za prikupljanje podataka pretraživača.
.webp)
Maliciozni softver održava skrivenost tako što radi zajedno sa uvjerljivom aplikacijom za privlačenje koja stvara razrađen samoodrživi ekosistem u kojem se narušeni „Facebook Business“ nalozi prodaju na mračnim web tržištima ili prenamjenjuju da propagiraju maliciozne reklame.
Preporuke
U nastavku smo naveli sve preporuke:-
Pratite svoje Facebook poslovne naloge
Scrutinize Ads
Koristite samo zvanične izvore
Koristite robustan sigurnosni softver
Održavajte sistem ažuriranim
Omogućite dvofaktorsku autentifikaciju
Izvor: CyberSecurityNews
