Una nuova ricerca condotta da un’azienda di sicurezza informatica suggerisce che gli hacker stanno utilizzando le pagine aziendali e le pubblicità di Facebook per promuovere falsi temi Windows che finiscono per installare malware sul computer dell’utente. Il bug di furto di password SYS01 viene installato anche da attori della minaccia tramite falsi download di giochi e software piratati.
I ricercatori di Trustwave, la sussidiaria di sicurezza informatica di The Chertoff Group, hanno notato che utilizzando Facebook per distribuire tale malware, gli attori della minaccia stavano ampliando il loro raggio d’azione a causa degli ampi obiettivi di campagna forniti dalle pubblicità di Facebook. Questa è una minaccia significativa per gli utenti poiché il malware SYS01 potrebbe essere installato anche tramite YouTube e LinkedIn.
FB offre un campo di gioco ampio e diversificato
Rispondendo alla nuova minaccia, Thomas Richards, consulente principale per la sicurezza presso Synopsys Software Integrity Group, afferma che gli annunci promozionali aziendali aiutano gli hacker a raggiungere più persone a bordo di una delle più grandi comunità online come Facebook. Poiché gli utenti si fidano degli annunci sulla piattaforma, la probabilità di clic su link dannosi aumenta.
“I consumatori dovrebbero essere consapevoli delle offerte che sembrano troppo belle per essere vere, come software costosi o un gioco ora disponibile a un costo inferiore. È anche prudente assicurarsi che il sito Web da cui si sta scaricando il software sia il produttore effettivo del software, una ricerca su Google del software rivelerà gli editori”, ha affermato Richards in una dichiarazione via e-mail.
L’esperto di sicurezza informatica voleva anche che il team di revisione degli annunci di Facebook prendesse le informazioni fornite da Trustwave e le usasse per trovare e rimuovere questi post fraudolenti prima che colpissero altri utenti. All’inizio di aprile, Trustwave aveva segnalato un’altra campagna di “malvertising” che aveva preso di mira gli amministratori IT che cercavano di scaricare utilità di sistema.
In che modo il bug informatico miete le sue vittime?
Gli annunci pubblicati tramite motori di ricerca come Google e Bing, nonché altri siti Web affidabili, forniscono trojan di accesso remoto, noti anche come RAT, infostealer, loader e altri malware che si mascherano da software legittimo. In quell’occasione, il ricercatore di Malwarebytes Jerome Segura aveva affermato di averlo segnalato a Google, ma che non era stata intrapresa alcuna azione.
Le pubblicità che promuovono temi Windows, download di giochi gratuiti e crack di attivazione software sono opzioni popolari per i criminali informatici. Quando vengono promosse tramite nuove pagine aziendali di Facebook o tramite il dirottamento di quelle esistenti, offrono un universo più ampio per gli attori della minaccia per promuovere i loro download pieni di malware.
Trustwave afferma che “gli autori delle minacce assumono l’identità aziendale rinominando le pagine Facebook, il che consente loro di sfruttare la base di follower esistente per amplificare significativamente la portata della loro pubblicità fraudolenta. Hanno anche osservato che la maggior parte di queste pagine era amministrata da individui con sede in Vietnam o nelle Filippine.
Temete i danesi e portate doni!
Il rapporto afferma che tra le migliaia di tali campagne pubblicitarie, i criminali ne preferiscono alcune, come le campagne su blue-softs (8.100 annunci), xtaskbar-themes (4.300 annunci), newtaskbar-themes (2.200 annunci) e awesome-themes-desktop (1.100 annunci). Quando un utente clicca sugli annunci, viene indirizzato a pagine web ospitate su Google Sites o True Hosting, dove pubblicano il pulsante di download che alla fine trasporta il malware nel sistema.
Cliccando sul pulsante di download in queste pagine, il browser inizia a scaricare un archivio ZIP denominato con il nome del prodotto specifico. Potrebbe essere qualcosa come “Adobe_Photoshop_2023.zip”, afferma il rapporto, aggiungendo che il tentativo qui è di far credere agli utenti che stanno ottenendo una nuova applicazione o un nuovo gioco gratuitamente.
Ciò che l’utente ottiene invece è un software di furto di informazioni SYS01, scoperto per la prima volta da Morphisec nel 2022. È composto da script PHP che creano attività pianificate per la persistenza e rubano dati dal dispositivo. Tali dati solitamente includono cookie del browser, credenziali salvate nel browser, la sua cronologia e i portafogli crittografici, se disponibili.
Inoltre, utilizza anche i cookie di Facebook sul dispositivo per rubare informazioni sull’account dal sito di social media. Ciò include estratti di informazioni sul profilo, dati dettagliati dell’account pubblicitario, metodi di spesa e pagamento, account pubblicitari, utenti aziendali, dettagli delle pagine FB gestite dall’utente e altro ancora.
Trustwave ha anche avvertito che il malessere del “malvertising” non è limitato solo a Facebook, ma potrebbe essere impostato su LinkedIn e YouTube. “L’attuale campagna di malvertising SYS01 rappresenta una minaccia per un pubblico più ampio e dimostra l’importanza di essere consapevoli di ciò che gli utenti fanno sui social media”, ha affermato l’azienda.
