Cibercriminosos estão usando páginas comerciais e anúncios do Facebook para promover temas falsos do Windows que infectam usuários desavisados com o malware SYS01. Esse malware é um ladrão de informações e rouba senhas dos usuários da rede social.
Anúncios do Facebook espalhando malware
Pesquisadores da Trustwave que observaram as campanhas (Via: Bleeping Computer) disseram que os agentes de ameaças também promovem downloads falsos de jogos e softwares piratas, Sora AI, criador de imagens 3D e One Click Active.
Embora o uso de anúncios do Facebook para disseminar malware que rouba informações não seja novidade, o enorme alcance da plataforma de mídia social torna essas campanhas uma ameaça significativa.
Publicidade no Facebook
Os agentes de ameaças publicam anúncios que promovem temas do Windows, downloads gratuitos de jogos e cracks de ativação de software para aplicativos populares, como Photoshop, Microsoft Office e Windows.
Esses anúncios são promovidos por meio de páginas comerciais recém-criadas no Facebook ou por meio do sequestro de páginas existentes. Ao usar páginas sequestradas do Facebook, os agentes da ameaça as renomeiam para se adequarem ao tema de seu anúncio e para promover os downloads para os membros existentes da página.
A Trustwave diz que os cibercriminosos publicam milhares de anúncios para cada campanha, com as principais campanhas sendo chamadas de blue-softs (8.100 anúncios), xtaskbar-themes (4.300 anúncios), newtaskbar-themes (2.200 anúncios) e awesome-themes-desktop (1.100 anúncios).
Quando um usuário do Facebook clica no anúncio, ele é levado a páginas da web hospedadas no Google Sites ou no True Hosting que fingem ser páginas de download do conteúdo promovido pelo anúncio.
As páginas do True Hosting são usadas principalmente para promover um site chamado Blue-Software, que supostamente oferece softwares e downloads de jogos gratuitos.
Embora os usuários que baixam o arquivo possam pensar que estão recebendo um aplicativo, jogo ou tema gratuito do Windows, ele na verdade contém o malware SYS01, que rouba informações.
O malware
A carga principal do malware de roubo de informações SYS01 consiste em scripts PHP que criam tarefas agendadas para persistência e roubam dados do dispositivo. Os dados roubados incluem cookies do navegador, credenciais salvas no navegador, histórico do navegador e carteiras de criptomoedas.
O malware também inclui uma tarefa que utiliza cookies do Facebook encontrados no dispositivo para roubar informações da conta do site de mídia social: extrai informações de perfil pessoal, como nome, e-mail e aniversário; obtém dados detalhados da conta de publicidade, incluindo gastos e métodos de pagamento; dados incluindo empresas, contas de anúncios e usuários empresariais, destacando a profundidade do acesso a dados comerciais e financeiros confidenciais; detalhes sobre páginas do Facebook gerenciadas pelo usuário, incluindo contagens de seguidores e funções; os dados roubados são armazenados temporariamente na pasta %Temp% antes de serem enviados aos invasores.
Os cookies e senhas roubados podem ser vendidos posteriormente a outros agentes de ameaças ou usados ??para violar outras contas de propriedade da vítima, enquanto os dados do Facebook provavelmente são usados ??para sequestrar outras contas para futuras campanhas de malvertising.
A Trustwave diz que esse malvertising não se limita ao Facebook, observando perfis semelhantes criados no LinkedIn e no YouTube.
Via: Bleeping Computer