Преступники разыгрывают сложные сценарии, скрываясь за всем известными логотипами.
Исследователи из компании активную кампанию «малвертайзинга», направленную на взлом аккаунтов * и распространение вредоносного ПО SYS01stealer.
В своей вредоносной активности хакеры используют рекламные инструменты *, чтобы привлекать пользователей и внедрять зловредное ПО, передавая им файлы, содержащие вирус. Эти действия нацелены на захват данных пользователей и бизнес-аккаунтов, что позволяет преступникам и далее беспрепятственно распространять вредоносную рекламу.
Злоумышленники используют известные бренды, чтобы повысить уровень доверия пользователей к фальшивым объявлениям. Через сотни специально созданных доменов осуществляется управление атаками в реальном времени, что позволяет хакерам оперативно манипулировать ходом кампании.
SYS01stealer был впервые обнаружен в начале 2023 года и направлен в первую очередь на кражу данных входа в аккаунты Facebook, а также истории браузера и cookies. По словам Bitdefender, скомпрометированные аккаунты Facebook позволяют хакерам расширять свою деятельность без необходимости создавать новые учётные записи.
Рекламная кампания распространяет SYS01stealer на таких платформах, как Facebook, YouTube и LinkedIn, через объявления, предлагающие, среди прочего, темы для Windows, игры и VPN-сервисы. Целевая аудитория этих объявлений — преимущественно мужчины старше 45 лет, что повышает вероятность вовлечения в мошенническую схему.
Как отмечается в компании , пользователи, взаимодействующие с такими объявлениями, перенаправляются на фальшивые сайты, маскирующиеся под известные бренды. При переходе на сайты начинается процесс заражения — пользователи загружают архивы с вредоносным содержимым. Для защиты от обнаружения зловред использует технологии обхода антивирусных программ и запускает PowerShell-команды, которые предотвращают запуск вируса в изолированной среде.
Новые версии SYS01stealer включают обновления, затрудняющие его выявление. Например, вредоносный архив содержит приложение, работающее на платформе Electron, что говорит о том, что преступники продолжают совершенствовать свои методы.
Одновременно с кампаниями по распространению SYS01stealer, специалисты волны фишинговых атак, злоупотребляющих репутацией сервиса Eventbrite. Мошенники создают фальшивые мероприятия и направляют письма, побуждающие к оплате или подтверждению данных. Использование доверенного домена Eventbrite повышает шансы на доставку таких писем, поскольку они минуют фильтры и могут достигать пользователей без дополнительных проверок.
Подробнее:
Исследователи из компании активную кампанию «малвертайзинга», направленную на взлом аккаунтов * и распространение вредоносного ПО SYS01stealer.
В своей вредоносной активности хакеры используют рекламные инструменты *, чтобы привлекать пользователей и внедрять зловредное ПО, передавая им файлы, содержащие вирус. Эти действия нацелены на захват данных пользователей и бизнес-аккаунтов, что позволяет преступникам и далее беспрепятственно распространять вредоносную рекламу.
Злоумышленники используют известные бренды, чтобы повысить уровень доверия пользователей к фальшивым объявлениям. Через сотни специально созданных доменов осуществляется управление атаками в реальном времени, что позволяет хакерам оперативно манипулировать ходом кампании.
SYS01stealer был впервые обнаружен в начале 2023 года и направлен в первую очередь на кражу данных входа в аккаунты Facebook, а также истории браузера и cookies. По словам Bitdefender, скомпрометированные аккаунты Facebook позволяют хакерам расширять свою деятельность без необходимости создавать новые учётные записи.
Рекламная кампания распространяет SYS01stealer на таких платформах, как Facebook, YouTube и LinkedIn, через объявления, предлагающие, среди прочего, темы для Windows, игры и VPN-сервисы. Целевая аудитория этих объявлений — преимущественно мужчины старше 45 лет, что повышает вероятность вовлечения в мошенническую схему.
Как отмечается в компании , пользователи, взаимодействующие с такими объявлениями, перенаправляются на фальшивые сайты, маскирующиеся под известные бренды. При переходе на сайты начинается процесс заражения — пользователи загружают архивы с вредоносным содержимым. Для защиты от обнаружения зловред использует технологии обхода антивирусных программ и запускает PowerShell-команды, которые предотвращают запуск вируса в изолированной среде.
Новые версии SYS01stealer включают обновления, затрудняющие его выявление. Например, вредоносный архив содержит приложение, работающее на платформе Electron, что говорит о том, что преступники продолжают совершенствовать свои методы.
Одновременно с кампаниями по распространению SYS01stealer, специалисты волны фишинговых атак, злоупотребляющих репутацией сервиса Eventbrite. Мошенники создают фальшивые мероприятия и направляют письма, побуждающие к оплате или подтверждению данных. Использование доверенного домена Eventbrite повышает шансы на доставку таких писем, поскольку они минуют фильтры и могут достигать пользователей без дополнительных проверок.
Подробнее:
