Una recente campagna di malvertising ha preso di mira gli account Facebook per diffondere il malware SYS01stealer, sfruttando la piattaforma pubblicitaria di Meta e compromettendo account per diffondere informazioni sensibili. Secondo Bitdefender Labs, gli hacker dietro questa campagna utilizzano marchi affidabili per ampliare la loro portata, impiegando quasi un centinaio di domini malevoli. Questi domini non solo distribuiscono il malware, ma sono anche utilizzati per operazioni di comando e controllo in tempo reale, permettendo agli attori di gestire l'attacco.
Attacco e diffusione del SYS01stealer
SYS01stealer è stato documentato per la prima volta nel 2023 da Morphisec, con campagne che prendono di mira account aziendali di Facebook usando annunci Google e profili falsi che promuovono giochi, contenuti per adulti e software crackati. L'obiettivo principale è rubare credenziali di accesso, cronologia di navigazione e cookie. Tuttavia, l'accento è posto sul furto di dati degli account pubblicitari e aziendali di Facebook, che vengono poi utilizzati per propagare ulteriormente il malware tramite annunci falsi.
Utilizzo degli account compromessi
Gli account Facebook compromessi sono fondamentali per espandere l'intera operazione, poiché ogni account può essere riutilizzato per promuovere ulteriori annunci malevoli, amplificando la portata della campagna senza la necessità di creare nuovi account. Il vettore principale attraverso cui viene distribuito SYS01stealer è il malvertising, con annunci che promuovono temi di Windows, giochi, software di intelligenza artificiale, editor fotografici, VPN e servizi di streaming.
Targeting degli annunci e metodi di infezione
La maggior parte degli annunci su Facebook è progettata per colpire uomini di età superiore ai 45 anni. Gli utenti che interagiscono con questi annunci vengono reindirizzati a siti ingannevoli ospitati su piattaforme come Google Sites o True Hosting, che impersonano marchi legittimi per avviare l'infezione. La prima fase del payload scaricato da questi siti è un archivio ZIP contenente un eseguibile benigno, utilizzato per caricare una DLL malevola responsabile dell'avvio del processo multi-stadio.
Processo di infezione multi-stadio
Questo processo include l'esecuzione di comandi PowerShell per prevenire l'esecuzione del malware in ambienti sandbox, la modifica delle impostazioni di Microsoft Defender Antivirus per escludere determinati percorsi e l'impostazione di un ambiente operativo per eseguire il malware basato su PHP. Gli archivi ZIP più recenti contengono un'applicazione Electron, suggerendo una continua evoluzione delle strategie da parte degli attori delle minacce.
Persistenza e adattamento
All'interno dell'Atom Shell Archive è presente un file JavaScript che esegue i comandi PowerShell per controllare l'ambiente ed eseguire il malware. La persistenza è ottenuta tramite la configurazione di task pianificati. La capacità di adattamento dei cybercriminali rende la campagna SYS01 particolarmente pericolosa, poiché il malware utilizza rilevamento sandbox per rimanere non rilevato.