Злоумышленники перехватывают аккаунты Facebook с помощью вредоносного ПО

Злоумышленники используют социальные сети для распространения вредоносного ПО, такого как SYS01, которое крадет учетные данные Facebook и распространяется через взломанные аккаунты. Популярность социальных сетей делает их привлекательной целью, а украденные данные могут использоваться для дальнейших атак, таких как вымогательство или кража данных. Поскольку поведение пользователей сложно контролировать, важны меры безопасности, такие как многофакторная аутентификация и надежные системы обнаружения. Без этих мер злоумышленники могут обойти защиту и запускать различные атаки, используя легитимные аккаунты.

SYS01, недавно обнаруженное вредоносное ПО, нацелено на данные браузера и аккаунты Facebook. Чтобы избежать обнаружения, оно было модифицировано с момента своего появления в марте 2023 года и использует вредоносную рекламу на различных платформах, чтобы обманом заставить пользователей скачать вредоносное ПО. Вредоносное ПО крадет данные браузера, включая учетные данные и файлы cookie. Особенно тревожно, что оно может красть токены доступа к аккаунтам Facebook, особенно тем, которые управляют бизнес-страницами.

Это позволяет злоумышленникам захватывать эти аккаунты и дальше распространять вредоносное ПО через вредоносную рекламу. Нацеливаясь на ничего не подозревающих пользователей и компрометируя как новые, так и уже существующие бизнес-аккаунты Facebook, SYS01 нарушает работу и может привести к финансовым потерям.

Вредоносное ПО SYS01 использует рекламные кампании с различными приманками, чтобы обмануть жертв.

Злоумышленники используют атаку drive-by compromise с вредоносной рекламой на Facebook. Нажатие на замаскированную кнопку загрузки перенаправляет пользователей на вредоносный домен, а структура URL включает тег кампании (?t={Tag}), чтобы классифицировать и управлять различными версиями вредоносного ПО в зависимости от профиля жертвы или целей кампании. Идентифицированные теги включают "awesome", "soraaiv2", "tbthemes", "3dimg" и "taskbarthemes2024", что позволяет злоумышленникам отслеживать эффективность кампаний и адаптировать вредоносные действия.

Вредоносное ПО SYS01 эволюционирует свои методы доставки, чтобы охватить более широкую аудиторию через рекламу в социальных сетях, таких как темы для Windows. Оно использует легитимно звучащие домены для развертывания вредоносных нагрузок и использует PHP-варианты для обхода обнаружения. Злоумышленники применяют сложную цепочку атак с генерацией C2-домена, извлечением данных и захватом аккаунтов Facebook через токены. Вредоносное ПО также использует коммерческие инструменты для достижения устойчивости на зараженных системах, так как SYS01 специально нацелен на захват бизнес-аккаунтов Facebook, чтобы максимизировать свой охват и нанести ущерб репутации пострадавших компаний.