Aktivna kampanja malicioznog softvera postavila je svoje nišane na korisnike Facebook-a i YouTube-a koristeći novu krađu informacija za otmicu naloga i zloupotrebu resursa sistema za rudarenje kriptovalute.
Bitdefender naziva maliciozni softver S1deload Stealer zbog njegove upotrebe tehnika lateralnog učitavanja DLL- a kako bi se prevazišla sigurnosna zaštita i izvršila maliciozna komponenta.
“Kada se zarazi, S1deload Stealer krade korisničke kredencijale, emulira ljudsko ponašanje kako bi umjetno povećao videozapise i druge sadržaje, procjenjuje vrijednost pojedinačnih naloga (kao što je identifikovanje korporativnih administratora društvenih medija), rudari za BEAM kriptovalutu i propagira malicioznu vezu pratiocima korisnika” rekao je istraživač Bitdefender-a Dávid ÁCS.
Drugim riječima, cilj kampanje je preuzimanje kontrole nad Facebook i YouTube nalozima korisnika i iznajmljivanje pristupa kako bi se povećao broj pregleda i lajkova za video i objave dijeljene na platformama.
Procjenjuje se da je više od 600 jedinstvenih korisnika pogođeno tokom šestomjesečnog perioda između jula i decembra 2022. godine. Većina infekcija se nalazi u Rumuniji, Turskoj, Francuskoj, Bangladešu, Meksiku, Peruu i Kanadi.
Da bi izveli šemu, korisnici su namamljeni sadržajem sa temom za odrasle putem Facebook postova koji sadrže veze do ZIP arhiva, što, kada se ekstrahira, pokreće zamršen slijed infekcije koji vodi do postavljanja malicioznog softvera.
“Autor malicioznog softvera stoga može stvoriti povratnu petlju: što više računara mogu zaraziti, više neželjenog sadržaja mogu postaviti na Facebook-u, više klikova mogu generisati da zaraze više računala” rekao je Bitdefender.
Osim što može preuzeti dodatne module na kompromitovanom hostu, maliciozni softver je takođe odgovoran za pokretanje Chrome pretraživača bez glave koji koristi ekstenziju za umjetno napuhavanje YouTube videa.
Haker dalje hvata sačuvane kredencijale i kolačiće iz web pretraživača, provodi provjere Facebook profila, a takođe učitava cryptojacker koji rudari kriptovalutu bez znanja ili pristanka žrtve.
Bitdefender je rekao da je otkrio da se infrastruktura preklapa sa web stranicom koja se zove upview[.]us koja oglašava opcije za kupovinu YouTube pregleda, lajkova i pretplatnika, kao i opcije za povećanje lajkova, komentara, pratilaca i pregleda videa na Facebook-u.
„S1deload haker ima ozbiljne implikacije na privatnost za zaraženu žrtvu“ saopštila je rumunska kompanija. “Maliciozni softver eksfiltrira sačuvane kredencijale žrtve, uključujući email, društvene mreže ili čak finansijske račune. Haker može pristupiti tim računima ili ih prodati na dark web-u.”
Izvor: The Hacker News