サイバー犯罪者はFacebookのビジネスページや広告を利用して偽のWindowsテーマを宣伝し、疑うことを知らないユーザーをSYS01パスワード窃取マルウェアに感染させる。
このキャンペーンを観察したTrustwaveの研究者によると、脅威の主体は、海賊版のゲームやソフトウェア、3D画像作成ソフト「Sora AI」、および「One Click Active」の偽ダウンロードも宣伝しているとのことです。
Facebookの広告を利用して情報を盗むマルウェアをプッシュすることは目新しいことではありませんが、ソーシャルメディア・プラットフォームの大規模なリーチにより、これらのキャンペーンは重大な脅威となっています。
Facebook広告
脅威となる行為者は、Windowsテーマ、無料ゲームのダウンロード、Photoshop、Microsoft Office、Windowsなどの人気アプリケーションのソフトウェアアクティベーションクラックを宣伝する広告を出します。
Trustwave
これらの広告は、新しく作成された Facebook のビジネスページ、または既存のページをハイジャックすることで宣伝されます。ハイジャックされたFacebookページを使用する場合、脅威行為者は広告のテーマに合わせてページ名を変更し、既存のページメンバーにダウンロードを促進します。
「脅威行為者は、Facebookページの名前を変更することで、ビジネス・アイデンティティになりすまし、既存のフォロワー基盤を活用して、詐欺広告のリーチを大幅に拡大することができます」と、Trustwaveのレポートは述べています。
“これらの各ページは、様々な時点でベトナムまたはフィリピンに位置する個人によって管理されていたことを強調する価値がある。”
Trustwaveは、脅威の行為者は、各キャンペーンのために数千の広告を取り出し、トップキャンペーンはblue-softs(8,100広告)、xtaskbar-themes(4,300広告)、newtaskbar-themes(2,200広告)、awesome-themes-desktop(1,100広告)と命名されたと述べている。
Facebookユーザーが広告をクリックすると、Google SitesやTrue Hostingでホストされているウェブページに誘導され、広告の宣伝用コンテンツのダウンロード・ページであるかのように見せかける。
True Hostingのページは、主にBlue-Softwareという、無料ソフトウェアやゲームのダウンロードを提供するとされるウェブサイトの宣伝に使われている。
ソースはこちら:Trustwave
ダウンロード」ボタンをクリックすると、ブラウザは特定のアイテムにちなんだ名前のZIPアーカイブをダウンロードします。例えば、偽のWindowsテーマをダウンロードすると、「Awesome_Themes_for_Win_10_11.zip」という名前のアーカイブが配信され、Photoshopは「Adobe_Photoshop_2023.zip」となる。
ダウンロードした人は、無料のアプリケーションやゲーム、Windowsテーマを手に入れたと思うかもしれないが、実際にはアーカイブにはSYS01という情報を盗むマルウェアが含まれている。
このマルウェアは2022年にMorphisecによって初めて発見され、実行可能ファイル、DLL、PowerShellスクリプト、PHPスクリプトのコレクションを利用してマルウェアをインストールし、感染したコンピュータからデータを盗み出す。
アーカイブのメイン実行ファイルがロードされると、DLLサイドローディングを使用して悪意のあるDLLをロードし、マルウェアの動作環境のセットアップを開始します。
これには、検出を回避するための仮想化環境でマルウェアが実行されないようにするためのPowerShellスクリプトの実行、Windows Defenderでのフォルダ除外の追加、悪意のあるPHPスクリプトを読み込むためのPHP動作環境の設定などが含まれます。
SYS01情報窃取マルウェアの主要なペイロードは、永続化のためのスケジュールされたタスクを作成し、デバイスからデータを窃取するPHPスクリプトで構成されています。
窃取されるデータには、ブラウザのクッキー、ブラウザに保存された認証情報、ブラウザの履歴、暗号通貨ウォレットなどが含まれます。
ソースはこちら:Trustwave
このマルウェアには、デバイス上にあるFacebookのクッキーを利用して、ソーシャルメディアサイトからアカウント情報を盗むタスクも含まれている:
- 名前、電子メール、誕生日などの個人プロフィール情報を抽出します。
- 支出や支払い方法などの詳細な広告アカウントデータを取得します。
- 企業、広告アカウント、ビジネスユーザーを含むデータで、商業データや機密性の高い財務データへのアクセスの深さを強調。
- フォロワー数や役割など、ユーザーが管理するFacebookページに関する詳細。
盗まれたデータは、攻撃者に送信される前に一時的に%Temp%フォルダに保存されます。
Source:Trustwave
盗まれたクッキーとパスワードは、後に他の脅威行為者に販売されたり、被害者が所有するさらなるアカウントの侵害に使用されたりする可能性があります。
Trustwaveによると、この不正広告はFacebookだけにとどまらず、LinkedInやYouTubeにも同様のプロフィールが設定されているという。
Trustwaveは、「現在進行中のSYS01の不正広告キャンペーンは、より多くの人々に脅威を与えており、ソーシャルメディアにおけるユーザーの行動を意識することの重要性を示しています」と結論付けています。
“2022年に初めて観測されて以来、SYS01マルウェアは、アダルトをテーマにしたクリックベイトやゲーム関連の広告から、WindowsテーマやAIベースのソフトウェアツールの広告のような一般ユーザーをターゲットにしたアプローチに移行することで、その配信方法を変化させています。”
Trustwaveは2月、Ov3r_Stealerパスワード窃取マルウェアを押し付ける同様のFacebookの不正広告キャンペーンについて報告した。
さらに最近、Bitdefenderは、脅威行為者が数百万人のユーザーを持つFacebookページを乗っ取り、人気のあるAIプロジェクトになりすましていると警告しました。これらのページはその後、Rilide、Vidar、IceRAT、Novaのような情報を盗むマルウェアをプッシュするために使用されていました。
.fan_quote { width: 85%; margin: auto; font-size: 16px; font-weight: 300; font-family:line-height: 1.2; color:#padding: 35px 10px 35px35px 10px 35px 40px; display: block; position: relative; box-sizing: border-box; box-shadow: inset 0 0 0 7px rgba(255, 255, 255, 0.07), 4px 4px 4px rgba(0, 0, 0, 0.15); background-color:#} .fan_quote:before { width: 30px; height: 20px; position: absolute; left: 10px; top:10px; content:”; background: url(‘https://www.bleepstatic.com/css/fanquote/dark-quote.png’) no-repeat; } .fan_quote:after { width: 30px; height: 20px; position: absolute; right: 20px; bottom:15px; content:”; background: url(‘https://www.bleepstatic.com/css/fanquote/quote.png’) -40px 0px no-repeat; } .fan_quote > a { font-family: sans-serif; font-size: 14px; color:#text-decoration: none; float: right; } .fan_quote > a:hover { color:} .fan_quote > a:hover { color: #ace; }
Comments