Tehdit aktörleri, Facebook kimlik bilgilerini çalan ve ele geçirilmiş hesaplar aracılığıyla yayılan SYS01 hırsızı gibi kötü amaçlı yazılımları dağıtmak için sosyal medyayı kullanıyor.
Sosyal medyanın popülaritesi onu birincil hedef haline getiriyor ve çalınan kimlik bilgileri, fidye yazılımı dağıtımı veya veri sızdırma gibi daha ileri saldırılar için değerli olabiliyor.
Kullanıcı davranışını kontrol etmek zor olduğundan, çok faktörlü kimlik doğrulama ve güçlü algılama gibi güvenlik önlemleri hayati önem taşır. Bu önlemler olmadan, saldırganlar güvenliği aşabilir ve meşru hesapları kullanarak çeşitli saldırılar başlatabilir.
Yakın zamanda keşfedilen bir bilgi hırsızı olan SYS01, tarayıcı verilerini ve Facebook hesaplarını hedef alıyor. Tespit edilmekten kaçınmak için Mart 2023’teki tanıtımından bu yana değiştirildi ve kullanıcıları kötü amaçlı yazılımı indirmeye kandırmak için çeşitli platformlarda kötü amaçlı reklamcılık kullanıyor.
Kötü amaçlı yazılım daha sonra oturum açma kimlik bilgileri ve çerezler dahil olmak üzere tarayıcı verilerini çalar. Özellikle iş sayfalarını yönetenler olmak üzere Facebook hesapları için erişim belirteçlerini çalma yeteneği özellikle endişe vericidir.
AI Destekli Güvenlik ile İş E-postalarınızı Sahtecilik, Kimlik Avı ve BEC’den Koruyun | Ücretsiz Demo
Saldırganların bu hesapları ele geçirmesine ve kötü amaçlı reklamcılık yoluyla kötü amaçlı yazılımları yaymasına olanak tanır.
SYS01, şüphelenmeyen kullanıcıları hedef alarak hem yeni hem de mevcut Facebook işletme hesaplarını tehlikeye atarak operasyonları aksatıyor ve potansiyel olarak finansal kayıplara yol açıyor.
Infostealer SYS01, kurbanlarını kandırmak için farklı yemlerle kötü amaçlı reklam kampanyaları kullanıyor.
Eylül 2023’te ilk olarak popüler oyunların ücretsiz indirilmesini sağlayan kampanya, şimdi Sora AI ve görev çubuğu temaları gibi Windows temalarına odaklanıyor.
Trustwave eyaletleri Her kampanyanın kendine özgü bir etiketi var ve Facebook’ta en fazla reklamı (~8.100) “blue-softs” alıyor.
Reklamlara tıklandığında kullanıcılar, büyük olasılıkla bilgi hırsızı kötü amaçlı yazılımın barındırıldığı Google Sites veya True Hosting açılış sayfalarına yönlendiriliyor.
.webp)
Saldırganlar Facebook’ta kötü amaçlı reklamlarla geçiş saldırısı yöntemi kullanıyor.
Gizli bir indirme düğmesine tıklanması kullanıcıları kötü amaçlı bir etki alanına yönlendirirken, URL yapısı, kurban profiline veya kampanya hedeflerine göre farklı kötü amaçlı yazılım sürümlerini kategorize etmek ve yönetmek için bir kampanya etiketi (?t={Tag}) içerir.
Belirlenen etiketler arasında “awesome”, “soraaiv2”, “tbthemes”, “3dimg” ve “taskbarthemes2024” yer alıyor ve saldırganların kampanya etkinliğini izlemesine ve kötü amaçlı faaliyetleri kişiselleştirmesine olanak tanıyor.
.webp)
SYS01 kötü amaçlı yazılımı, Windows temaları gibi sosyal medya reklamları aracılığıyla daha geniş bir kitleyi hedeflemek için dağıtım yöntemlerini geliştiriyor. Kötü amaçlı yükleri dağıtmak için meşru görünen etki alanlarından yararlanıyor ve tespit edilmekten kaçınmak için PHP varyantlarını kullanıyor.
Saldırganlar, C2 alan adı oluşturma, veri çıkarma ve token’lar aracılığıyla Facebook hesabı ele geçirme gibi karmaşık bir saldırı zinciri kullanıyor.
Kötü amaçlı yazılım, enfekte olmuş sistemlerde kalıcılık sağlamak için ticari araçlardan da yararlanıyor; SYS01, erişimini en üst düzeye çıkarmak ve etkilenen işletmelerin itibarını zedelemek için özellikle Facebook işletme hesaplarını ele geçirmeyi hedefliyor.
Günümüzün büyük bir tehdidi olan yavaş DDoS saldırılarıyla mücadele hakkında bilgi edinmek için ücretsiz web seminerimize katılın.