Cybercriminelen gebruiken Facebook-bedrijfspagina’s en advertenties om nep-Windows-thema’s te promoten die nietsvermoedende gebruikers infecteren met de SYS01-wachtwoord-stelende malware.

Onderzoekers van Trustwave die de campagnes hebben geobserveerd, zeiden dat de dreigingsactoren ook valse downloads promoten voor illegale games en software, Sora AI, 3D-afbeeldingmakers en One Click Active.

Hoewel het gebruik van Facebook-advertenties voor het verspreiden van informatie-stelende malware niet nieuw is, maakt het enorme bereik van het sociale mediaplatform deze campagnes een aanzienlijke bedreiging.

Facebook-advertenties

De dreigingsactoren plaatsen advertenties die Windows-thema’s, gratis gamedownloads en activatiecracks voor populaire applicaties, zoals Photoshop, Microsoft Office en Windows, promoten.

Deze advertenties worden gepromoot via nieuw aangemaakte Facebook-bedrijfspagina’s of door bestaande pagina’s te kapen. Bij het kapen van Facebook-pagina’s hernoemen de dreigingsactoren deze om aan te sluiten bij het thema van hun advertentie en om de downloads te promoten bij de bestaande paginaleden.

“De dreigingsactoren nemen de zakelijke identiteit aan door de Facebook-pagina’s te hernoemen, waardoor ze de bestaande volgersbasis kunnen benutten om het bereik van hun frauduleuze advertentie aanzienlijk te vergroten,” aldus het Trustwave-rapport.

“Het is vermeldenswaard dat elk van deze pagina’s op verschillende momenten werd beheerd door individuen die zich in Vietnam of de Filipijnen bevonden.”

Trustwave zegt dat de dreigingsactoren duizenden advertenties plaatsen voor elke campagne, met de belangrijkste campagnes genaamd blue-softs (8.100 advertenties), xtaskbar-themes (4.300 advertenties), newtaskbar-themes (2.200 advertenties) en awesome-themes-desktop (1.100 advertenties).

Wanneer een Facebook-gebruiker op de advertentie klikt, wordt hij naar webpagina’s gebracht die worden gehost op Google Sites of True Hosting, die zich voordoen als downloadpagina’s voor de gepromote inhoud van de advertentie.

De True Hosting-pagina’s worden voornamelijk gebruikt om een website genaamd Blue-Software te promoten, die zogenaamd gratis software- en gamedownloads aanbiedt.

Het klikken op de ‘Download’-knoppen zorgt ervoor dat de browser een ZIP-archief downloadt met de naam van het specifieke item. Bijvoorbeeld, het downloaden van de nep-Windows-thema’s zou een archief genaamd ‘Awesome_Themes_for_Win_10_11.zip’ opleveren, en Photoshop zou ‘Adobe_Photoshop_2023.zip’ zijn.

Hoewel downloaders denken dat ze nu een gratis applicatie, spel of Windows-thema krijgen, bevat het archief eigenlijk de SYS01-informatie-stelende malware.

Dit malware werd voor het eerst ontdekt door Morphisec in 2022 en maakt gebruik van een verzameling uitvoerbare bestanden, DLL’s, PowerShell-scripts en PHP-scripts om de malware te installeren en gegevens van een geïnfecteerde computer te stelen.

Wanneer de belangrijkste uitvoerbare van het archief wordt geladen, gebruikt het DLL-sideloading om een kwaadaardige DLL te laden die begint met het opzetten van de malware-werkomgeving.

Dit omvat het uitvoeren van PowerShell-scripts om te voorkomen dat de malware in een gevirtualiseerde omgeving wordt uitgevoerd om detectie te ontwijken, het toevoegen van mapuitsluitingen in Windows Defender en het configureren van een PHP-werkomgeving om kwaadaardige PHP-scripts te laden.

De primaire payload van de SYS01-informatie-stelende malware bestaat uit PHP-scripts die geplande taken creëren voor persistentie en gegevens stelen van het apparaat.

De gestolen gegevens omvatten browsercookies, in de browser opgeslagen referenties, browsergeschiedenis en cryptocurrency-portefeuilles.

De malware bevat ook een taak die Facebook-cookies gebruikt die op het apparaat worden gevonden om accountinformatie van de sociale mediasite te stelen:

• Persoonlijke profielinformatie zoals naam, e-mail en verjaardag extraheren.
• Gedetailleerde gegevens van advertentieaccounts ophalen, inclusief uitgaven en betalingsmethoden.
• Gegevens inclusief bedrijven, advertentieaccounts en zakelijke gebruikers, met nadruk op de mate van toegang tot commerciële en gevoelige financiële gegevens.
• Gegevens over Facebook-pagina’s beheerd door de gebruiker, inclusief volgeraantallen en rollen.

De gestolen gegevens worden tijdelijk opgeslagen in de map %Temp% voordat ze naar de aanvallers worden verzonden.

De gestolen cookies en wachtwoorden kunnen later worden verkocht aan andere dreigingsactoren of worden gebruikt om andere accounts van het slachtoffer te hacken, terwijl de Facebook-gegevens waarschijnlijk worden gebruikt om verdere accounts te kapen voor toekomstige malvertising-campagnes.

Trustwave zegt dat deze malvertising zich niet alleen beperkt tot Facebook, waarbij vergelijkbare profielen worden ingesteld op LinkedIn en YouTube.

“De voortdurende SYS01-malvertising-campagne vormt een bedreiging voor een breder publiek en toont het belang van bewustzijn over wat gebruikers doen op sociale media,” concludeerde Trustwave.

“Sinds het voor het eerst werd waargenomen in 2022, heeft de SYS01-malware zijn leveringsmethode veranderd door weg te bewegen van clickbaits met volwassen thema’s en game-gerelateerde advertenties naar een benadering die zich richt op het algemene publiek, zoals Windows-thema’s en AI-gebaseerde softwaretools-advertenties.”

Trustwave rapporteerde in februari over een soortgelijke Facebook-malvertising-campagne die de Ov3r_Stealer-wachtwoord-stelende malware verspreidde.

Meer recentelijk waarschuwde Bitdefender dat dreigingsactoren Facebook-pagina’s met miljoenen gebruikers kaapten om zich voor te doen als populaire AI-projecten. Deze pagina’s werden vervolgens gebruikt om informatie-stelende malware te verspreiden, zoals Rilide, Vidar, IceRAT en Nova.