網絡安全研究人員發現了一起正在進行的惡意廣告活動，該活動濫用Meta的廣告平臺并劫持Facebook賬戶來傳播名為SYS01stealer的信息。

“該活動的黑客利用受信任的品牌來擴大其影響范圍，”Bitdefender Labs在與The Hacker News分享的一份報告中表示。

“該惡意廣告活動利用了近一百個惡意域名，這些域名不僅用于分發惡意軟件，還用于實時的命令與控制(C2)操作，使威脅行為者能夠實時管理攻擊。”

SYS01stealer最早由Morphisec于2023年初記錄，當時描述了針對Facebook企業賬戶的攻擊活動，這些活動使用谷歌廣告和假冒的Facebook賬號推廣游戲、成人內容和破解軟件。

與其他竊取器惡意軟件一樣，SYS01stealer的最終目標是竊取登錄憑證、瀏覽歷史和Cookie。但它還專注于獲取Facebook廣告和企業賬戶數據，然后利用這些數據通過虛假廣告進一步傳播惡意軟件。

“被劫持的Facebook賬戶為整個活動的擴展奠定了基礎，”Bitdefender指出，“每個被攻破的賬戶都可以被重新利用來推廣更多的惡意廣告，從而在不需要黑客自己創建新Facebook賬戶的情況下，擴大活動的覆蓋范圍。”

SYS01stealer主要通過在Facebook、YouTube和LinkedIn等平臺上的惡意廣告進行傳播，這些廣告宣傳Windows主題、游戲、AI軟件、照片編輯器、VPN和電影流媒體服務。大多數Facebook廣告都針對45歲及以上的男性。

“這有效地誘使受害者點擊這些廣告，從而竊取他們的瀏覽器數據，”Trustwave在2024年7月對惡意軟件的分析中表示。

“如果數據中包含與Facebook相關的信息，那么受害者不僅可能面臨瀏覽器數據被盜的風險，他們的Facebook賬戶還可能被威脅行為者控制，以進一步傳播惡意廣告并繼續這一循環。”

與廣告互動的用戶會被重定向到由Google Sites或True Hosting托管的欺騙性網站，這些網站冒充合法品牌和應用，試圖啟動感染過程。已知的攻擊還會使用被劫持的Facebook賬戶發布欺詐性廣告。

SYS01stealer惡意軟件

從這些網站下載的第一階段有效載荷是一個ZIP歸檔文件，其中包含一個良性可執行文件，該文件用于側加載一個負責解碼和啟動多階段過程的惡意DLL。

這包括運行PowerShell命令以防止惡意軟件在沙盒環境中運行、修改Microsoft Defender Antivirus設置以排除某些路徑以避免被檢測，以及設置運行環境以運行基于PHP的竊取器。

羅馬尼亞網絡安全公司觀察到的最新攻擊鏈中，ZIP歸檔文件嵌入了Electron應用程序，這表明威脅行為者正在不斷演變其策略。

Atom Shell Archive(ASAR)中還包含一個JavaScript文件(“main.js”)，該文件現在執行PowerShell命令以執行沙盒檢查并運行竊取器。通過在主機上設置計劃任務來實現持久性。

“這些攻擊背后的網絡犯罪分子的適應能力使SYS01信息竊取器活動特別危險，”Bitdefender表示，“該惡意軟件采用沙盒檢測技術，如果檢測到它正在受控環境中運行(分析人員通常使用這種環境來檢查惡意軟件)，則會停止操作。這使其在許多情況下都能保持不被發現。”

“當網絡安全公司開始標記并阻止特定版本的加載程序時，黑客會迅速響應并更新代碼。然后，他們推出包含更新惡意軟件的新廣告，以規避最新的安全措施。”

Eventbrite平臺遭釣魚活動濫用

與此同時，Perception Point詳細描述了濫用Eventbrite活動和票務平臺來竊取財務或個人信息的釣魚活動。

這些通過mailto:noreply@events.eventbrite[.]com發送的電子郵件會提示用戶點擊鏈接支付未結賬單或確認包裹遞送地址，然后要求他們輸入登錄信息和信用卡詳情。

攻擊之所以能夠實現，是因為威脅行為者在服務上注冊了合法賬戶，并通過濫用知名品牌的聲譽創建虛假活動，在活動描述或附件中嵌入釣魚鏈接，然后將活動邀請發送給目標對象。

“由于電子郵件是通過Eventbrite的驗證域名和IP地址發送的，因此它更有可能通過電子郵件過濾器，成功到達收件人的收件箱，”Perception Point表示。

“Eventbrite的發件人域名也增加了收件人打開電子郵件并點擊釣魚鏈接的可能性。濫用Eventbrite平臺使攻擊者能夠躲避檢測，確保更高的送達率和打開率。”

另一種騙局

威脅獵人還注意到，加密貨幣欺詐事件有所增加，這些欺詐活動冒充各種組織，以虛假的在家工作賺錢機會為誘餌，針對用戶。這些未經請求的消息還聲稱代表合法品牌，如Spotify、TikTok和Temu?；顒油ㄟ^社交媒體、短信和消息應用程序(如WhatsApp和Telegram)展開。同意接受工作的用戶會被騙子指示使用推薦碼在一個惡意網站上注冊，然后要求他們完成各種任務，如提交虛假評論、下訂單、在Spotify上播放特定歌曲或預訂酒店。

當受害者的虛假傭金賬戶余額突然變為負數，并被敦促通過投資自己的加密貨幣來充值以賺取任務獎金時，騙局就開始了。

“只要騙子認為受害者會繼續向系統支付，這個惡性循環就會繼續下去，”Proofpoint研究人員表示，“如果他們懷疑受害者已經識破了騙局，他們就會鎖定其賬戶并消失。”

這一非法計劃被高度確信是由也從事“殺豬盤”(也稱為基于戀情的加密貨幣投資欺詐)的威脅行為者所為。

“與‘殺豬盤’相比，這種工作欺詐為騙子帶來的回報雖然較小但更頻繁，”Proofpoint表示，“該活動利用知名品牌的認可度，取代了漫長的基于戀情的信任詐騙。”