虚假 Meta 广告劫持 Facebook 帐户以传播 SYS01 信息窃取程序

一个恶意广告活动正在利用 Meta 平台传播 SYS01 信息窃取程序,通过流行软件的虚假广告锁定 45 岁以上的男性。该恶意软件会窃取 Facebook 凭据,劫持账户(尤其是管理企业页面的账户),并在全球范围内进一步传播攻击。

一个新的恶意广告活动正在利用 Meta 的广告平台传播 SYS01 信息窃取程序,Meta 和 Facebook 用户都知道这种网络安全威胁会窃取他们的个人信息。

这次攻击的目标是全球数百万用户,特别是 45 岁及以上的男性,他们都是这次持续攻击的潜在受害者,这次攻击巧妙地将自己伪装成流行软件、游戏和在线服务的广告。

这一活动于 2024 年 9 月首次被发现,其突出之处在于它的假冒策略和所利用的流行品牌。攻击者没有将重点放在单一诱饵上,而是模仿了大量可信品牌,包括 Office 365 等生产力工具、Canva 和 Adobe Photoshop 等创意软件、ExpressVPN 等 VPN 服务、Netflix 等流媒体平台、Telegram 等消息应用程序,甚至还有《超级马里奥兄弟奇迹》等热门视频游戏。

攻击如何运作:

根据 Bitdefender 在周三发布之前与 Hackread.com 分享的博文,恶意广告通常会指向 MediaFire 链接,提供看似合法软件的直接下载。这些以压缩包形式打包的下载包含一个恶意 Electron 应用程序。

一旦执行,该应用程序就会下载并运行 SYS01 信息窃取程序,同时显示一个模仿广告软件的诱饵应用程序。这种欺骗手段让受害者很难意识到自己已经被入侵。

如需了解更多信息,Electron 应用程序是一种使用 HTML、CSS 和 JavaScript 等网络技术构建的桌面应用程序。Electron 是由 GitHub 开发的一个开源框架,允许开发人员创建跨平台应用程序,这些应用程序可以在 Windows、macOS 和 Linux 上运行,所有这些都可以从一个代码库中完成。

然而,在这次攻击中,Electron 应用程序在幕后使用混淆的 Javascript 代码和独立的 7zip 可执行文件来提取受密码保护的压缩包,其中包含核心恶意软件组件。该档案包括负责安装信息窃取程序并在受害者系统上建立持久性的 PHP 脚本。该恶意软件还加入了反沙箱检查,以逃避安全研究人员的检测。

窃取数据和劫持账户:

SYS01 信息窃取程序的主要目标是窃取 Facebook 凭据,尤其是与企业账户相关的凭据。这些被入侵的账户会被用于进一步的攻击/诈骗。

更糟糕的是,这种攻击还利用了被劫持账户的广告功能,允许攻击者创建新的恶意广告,这些广告看起来更合法,并能轻松绕过安全过滤器。这就形成了一个自我维持的循环,被盗账户被用来进一步传播恶意软件。被盗的证书还可能在地下市场上出售,进一步为犯罪分子敛财。

Fake Meta Ads Hijacking Facebook Accounts to Spread SYS01 Infostealer
假冒的 Netflix、超级马里奥兄弟奇迹和其他恶意广告目前正在该活动中使用(通过 Bitdefender)

全球影响和保护

虽然该活动覆盖全球,影响了欧盟、北美、澳大利亚和亚洲的用户,但 Bitdefender 无法证实其影响的全面程度,尤其是在欧盟以外地区,由于数据透明度有限,这一点仍不清楚。

尽管如此,如果您在 Facebook 上,特别是如果您经营着一个商业网页,就必须警惕 SYS01 Infostealer 和类似的威胁。虽然利用常识是必不可少的,但以下是你应该采取的一些重要步骤:

  1. 监控你的账户: 定期检查 Facebook 和其他社交媒体账户是否有可疑活动。如果发现任何未经授权的访问,请立即报告并更改密码。
  2. 警惕广告: 谨慎点击广告,尤其是那些提供免费下载或优惠的广告。在下载任何软件之前,请核实其来源。
  3. 坚持使用官方来源: 直接从官方网站或可信的应用程序商店下载软件。避免使用第三方平台和文件共享服务。
  4. 使用强大的安全软件:安装信誉良好的安全软件并保持更新。选择可提供实时保护和高级威胁检测的解决方案。
  5. 启用双因素身份验证 (2FA): 在 Facebook 和其他重要在线账户上激活 2FA,以提高安全性。
免责声明:文章内容不代表本站立场,本站不对其内容的真实性、完整性、准确性给予任何担保、暗示和承诺,仅供读者参考,文章版权归原作者所有。如本文内容影响到您的合法权益(内容、图片等),请及时联系本站,我们会及时删除处理。查看原文

为您推荐