Secondo i ricercatori di Trustwave, alcuni criminali informatici stanno sfruttando le pagine aziendali e gli annunci pubblicitari di Facebook, per promuovere falsi temi Windows per desktop, che in realtà infettano ignari utenti con il malware SYS01. Un info-stealer che ruba password (credenziali salvate sui browser), cookie e cronologia del browser e portafogli di criptovalute.
Gli autori delle campagne malware promuovono anche falsi download di giochi e software pirata, Sora AI, creatore di immagini 3D, e One Click Active.
“L’utilizzo di pagine aziendali e pubblicità attraverso la piattaforma Facebook in campagne malware è tutt’altro che nuovo”, commenta Pierluigi Paganini, analista di cyber security e CEO Cybhorus: tuttavia “la portata di questa campagna è il principale elemento di preoccupazione per gli esperti che l’hanno scoperta”.
Indice degli argomenti
Malvertising su Facebook: cosa preoccupa gli esperti
Gli attori malevoli pubblicano annunci che promuovono temi di Windows, download di giochi gratuiti e crack per attivare software per applicazioni popolari, come Photoshop, Microsoft Office e Windows.
Infatti, “nello specifico gli attaccanti promuovono falsi temi di Windows in grado di infettare gli utenti con l’information stealer SYS01. I criminali dietro questa campagna promuovono anche falsi download di giochi piratati e software popolari”, spiega Paganini.
Pagine aziendali di Facebook, create ex novo o dirottando quelle esistenti, promuovono queste pubblicità. Quando sfruttano le pagine Facebook dirottate, i threat actor le rinominano per adattarle al tema della loro pubblicità e per promuovere i download ai membri della pagina esistente.
“Gli attori della minaccia assumono l’identità aziendale rinominando le pagine Facebook,e ciò permetteloro di sfruttare la base di follower esistente per espandere in modo significativo la portata delle loro pubblicità fraudolente”, spiega il rapporto di Trustwave.
“Vale la pena sottolineare che ognuna di queste pagine è stata amministrata da individui situati in Vietnam o nelle Filippine in vari momenti”.
In particolare, “gli attaccanti prendano di mira un’ampia gamma di utenti senza focalizzare l’attacco a gruppi specifici“, evidenzia Paganini: “Questa scelta amplia sicuramente la potenziale base di vittime della campagna malware, ma rende queste campagne più semplici da identificare da parte delle aziende di sicurezza e gestori delle piattaforme social”.
Il vettore d’attacco
Secondo Trustwave, gli attori delle minacce pubblicano migliaia di annunci per ogni campagna. Le campagne principali sono blue-softs (8.100 annunci), xtaskbar-themes (4.300 annunci), newtaskbar-themes (2.200 annunci) e awesome-themes-desktop (1.100 annunci).
Quando un utente di Facebook clicca sull’annuncio, viene dirottato su pagine web ospitate su Google Sites o True Hosting che fingono di essere pagine di download per il contenuto promosso dell’annuncio.
I cyber criminali usano le pagine di True Hosting principalmente per promuovere un sito Web chiamato Blue-Software, che offre il download di software e giochi presumibilmente gratuiti.
Cliccando su Download, il browser scaricherà un archivio ZIP con il nome dell’elemento in questione. Per esempio, scaricando i falsi temi di Windows, si otterrà un archivio denominato “Awesome_Themes_for_Win_10_11.zip”, mentre per Photoshop sarà “Adobe_Photoshop_2023.zip”.
Sebbene i downloader s’illudano di scaricare applicazioni, giochi o temi gratuiti di Windows, l’archivio .zip contiene in realtà il malware SYS01, un info-stealer che ruba informazioni.
I dettagli
Morphisec ha scoperto questo malware per la prima volta nel 2022: sfrutta una raccolta di eseguibili, DLL, script PowerShell e script PHP per installare il malware e rubare i dati da un computer infetto.
L’eseguibile principale dell’archivio abilita il sideloading DLL per caricare una DLL malevola che inizia a configurare l’ambiente operativo del malware.
Il payload principale dell’info-stealer SYS01 consiste in script PHP che creano attività pianificate per la persistenza e rubano dati dal dispositivo.
I dati rubati includono cookie del browser, credenziali salvate nel browser, cronologia del browser e portafogli di criptovalute.
Il malware utilizza anche i cookie di Facebook presenti sul dispositivo per rubare informazioni sull’account dal sito di social media ed esegue le seguenti attività:
- estrae informazioni sul profilo personale come nome, e-mail e data del compleanno;
- estrae dati dettagliati sugli account pubblicitari, compresi i metodi di spesa e di pagamento;
- dati che includono aziende, account pubblicitari e utenti aziendali, evidenziando la profondità dell’accesso a dati commerciali e finanziari sensibili;
- dettagli relativi alle pagine Facebook gestite dall’utente, tra cui il numero di follower e i ruoli.
I dati rubati vengono temporaneamente archiviati nella cartella %Temp% prima di essere inviati agli aggressori.
Come proteggersi dall’info-stealer SYS01
La prima regola aurea per proteggersi è la consapevolezza. Bisogna inoltre scaricare software e app solo da marketplace ufficiale. Occorre evitare di cliccare su link sospetti, anche se i link sono veicolati da campagne advertising.
“La campagna di malvertising SYS01 in corso rappresenta una minaccia per un pubblico più ampio e dimostra l’importanza di essere consapevoli di ciò che gli utenti fanno sui social media”, conclude Trustwave.
I cookie e le password rubati possono essere successivamente venduti ad altri threat actor o utilizzati per violare altri account di proprietà della vittima, mentre i dati di Facebook probabilmente permettono di dirottare altri account per future campagne di malvertising.
Trustwave afferma che questo caso di malvertising non è limitato solo a Facebook, in quanto sono stati creati profili simili su LinkedIn e YouTube.
“La natura delle vittime e le tecniche utilizzare lasciano infatti presagire”, conclude Paganini, “che nei prossimi mesi osserveremo numerosi attacchi volti ad infettare i sistemi delle vittime con le più disparate famiglie di information stealer“.
“Dal primo avvistamento per la prima volta nel 2022, il malware SYS01 ha cambiato il suo metodo di distribuzione, abbandonando i clickbait a tema per adulti e gli annunci legati ai giochi per passare a un approccio che si rivolge al pubblico generale, come i temi di Windows e gli annunci di strumenti software basati sull’intelligenza artificiale”.
Trustwave ha riferito a febbraio di una campagna di malvertising simile su Facebook che spingeva il malware Ov3r_Stealer a rubare le password.
Più di recente, Bitdefender ha avvertito che attori delle minacce stavano dirottando le pagine di Facebook con milioni di utenti per impersonare popolari progetti di intelligenza artificiale. L’utilizzo delle pagine ha poi diffuso malware che rubano informazioni, come Rilide, Vidar, IceRAT e Nova.
