Site icon Kiber.ba

SYS01 InfoStealer Malware napada Meta Business stranicu radi krađe prijava

SYS01 InfoStealer Malware napada Meta Business stranicu radi krađe prijava-Kiber.ba

SYS01 InfoStealer Malware napada Meta Business stranicu radi krađe prijava-Kiber.ba

Infostealer malware je vrsta malicioznog softvera dizajniranog da se infiltrira u kompjuterske sisteme i izvuče osjetljive informacije. Kada se podaci prikupe, šalju se na udaljene servere koje kontrolišu hakeri i često se preprodaju na „mračnim web tržištima“.

Istraživači kibernetičke sigurnosti u Bitdefender-u nedavno su otkrili da maliciozni softver SYS01 infostealer aktivno napada Meta poslovne stranice kako bi ukrao prijave.

SYS01 InfoStealer Malware napada Mera Business

Pronađeni su akteri prijetnji kako usmjeravaju sofisticiranu kampanju malicioznog oglašavanja preko Metine reklamne platforme kako bi distribuirali zlonamjerni softver “SYS01” InfoStealer lažno predstavljajući pouzdane brendove.Ova kampanja je pokrenuta u septembru i koristi algoritme oglašavanja na društvenim mrežama kreiranjem obmanjujućih reklama koje se maskiraju kao „legitimno preuzimanje softvera“ od renomiranih kompanija i popularnih naslova igara kao što su:-

Popularni gaming naslovi (izvor – Bitdefender)

Maliciozni softver je dizajniran za krađu ličnih podataka i kredencijala i distribuiše se putem mreže od hiljada “zlonamjernih reklama” koje su potencijalno dosegle milione korisnika. Ovdje je primarni fokus na ciljanju „demografske kategorije starijih muškaraca“. 

Infrastruktura napada koristi višestruke maliciozne domene koje funkcioniraju kao “lažne platforme za preuzimanje” korištenjem različitih mehanizama distribucije koji se vremenom razvijaju kako bi se izbjeglo otkrivanje. 

Sofisticirana priroda kampanje je očigledna u njenoj sposobnosti da održi uporne operacije putem „otetih naloga“, „generičkih tehnika lažnog predstavljanja“ i „strateškog postavljanja reklama“ koje mogu ostati aktivne nedeljama.

Zbog toga je za prosječne korisnike teže napraviti razliku između “legitimne ponude softvera” i “malicioznog sadržaja”. 

Iako ovo predstavlja zabrinjavajuću evoluciju u sajber prijetnjama gdje se tradicionalne platforme za oglašavanje naoružavaju kako bi se olakšala „distribucija malicioznog softvera velikih razmjera“.

Maliciozni softver koji se distribuiše putem obmanjujućih reklama preusmjerava korisnike na “MediaFire” preuzimanja koja sadrže maliciozne aplikacije “bazirane na elektronima”. 

Ove aplikacije su upakovane u “.zip” arhive koje sadrže “ASAR” datoteke u kojima se nalaze osnovne maliciozne komponente, “zamagljeni main.js JavaScript fajl”, “PowerShell skripte” i “arhive zaštićene lozinkom”. 

Lanac zaraze malicioznog softverom počinje kada se JavaScript kod raspakira i izvrši dodatne komponente koristeći alate kao što je “7zip” dok implementira mjere “anti-sandbox” provjeravanjem GPU modela u odnosu na unaprijed definiranu listu. 

Nakon što se izvrši, maliciozni softver postavlja “PHP skripte” (‘index.php’ i ‘include.php’) kodirane sa “IonCube Loader-om”, koji pomažu u uspostavljanju postojanosti putem “Windows Task Scheduler-a” sa dva ključna zadatka:- 

Infostealer komunicira sa C2 serverima koristeći “HTTP pozive” (‘https://{C2_DOMAIN}/api/rss?a=ping’) i koristi “Telegram botove” i “Google stranice” za dinamičko preuzimanje C2 domena. 

Njegov primarni cilj je izdvajanje osjetljivih podataka uz korištenje SQL naredbi poput “SELECT * FROM moz_cookies” za prikupljanje podataka pretraživača. 

Aplikacija Lure koja oponaša softver promoviran u reklamama (izvor – Bitdefender)

Maliciozni softver održava skrivenost tako što radi zajedno sa uvjerljivom aplikacijom za privlačenje koja stvara razrađen samoodrživi ekosistem u kojem se narušeni „Facebook Business“ nalozi prodaju na mračnim web tržištima ili prenamjenjuju da propagiraju maliciozne reklame.

Preporuke

U nastavku smo naveli sve preporuke:-

Pratite svoje Facebook poslovne naloge

Scrutinize Ads

Koristite samo zvanične izvore

Koristite robustan sigurnosni softver

Održavajte sistem ažuriranim

Omogućite dvofaktorsku autentifikaciju

Izvor: CyberSecurityNews

Exit mobile version