
サイバー攻撃者は Google 広告や 偽の Facebook プロフィールを通じて標的の Facebook ビジネス アカウントを狙い、ゲーム、クラックされたソフトウェア、アダルト コンテンツを宣伝して、被害者に悪質な ZIP ファイル(Infostealer)をダウンロードさせようとしています。
攻撃のターゲットと広告の内容
世界中で何百万人ものユーザー、特に 45 歳以上の男性が、人気のあるソフトウェア、ゲーム、オンライン サービスの広告を巧妙に偽装しており、
偽の公告はOffice 365 などの生産性ツール、Canva や Adobe Photoshop などのクリエイティブ ソフトウェア、ExpressVPN などの VPN サービス、Netflix などのストリーミング プラットフォーム、Telegram などのメッセージング アプリ、さらにはスーパーマリオブラザーズ ワンダーなどの人気ゲームなど、幅広い信頼できるブランドを模倣しています。
画像:HACK READ
広告をクリックすると
広告をクリックすると、前述の公告に関する正当なソフトウェアダウンロードする為のメディアファイルのリンクに誘導され、
ダウンロードすると、ZIP アーカイブとしてパッケージ化されたこれらのダウンロードには、悪質な Electron(デスクトップ アプリの一種) で作成されたアプリケーションが含まれています。
ElectronはOSSのフレームワークで、単一のコードからWindows、macOS、Linux で実行されるクロスプラットフォーム アプリケーションを作成する事ができます。
Electron製アプリをダウンロードすると
Electron アプリは裏で難読化された Javascript コードとスタンドアロンの 7zip 実行ファイルを使用して、コアのマルウェア コンポーネントを含むパスワード保護されたアーカイブを抽出します。
このアーカイブには、インフォスティーラーをインストールし 、被害者のシステム上で永続性を確立する PHP スクリプトが含まれています。このマルウェアには、セキュリティ研究者による検出を回避するためのアンチ サンドボックス チェックも組み込まれています。
Infostealer(インフォスティーラー)をダウンロードさせる目的
インフォスティーラーの主な目的は、Facebook の認証情報、特にビジネス アカウントに関連付けられた認証情報を収集することで、侵害されたアカウントは、その後、さらなる攻撃や詐欺に使用されます。
さらに悪いことに、この攻撃では乗っ取ったアカウントの広告機能も利用されるため、攻撃者はより正当なものに見えてセキュリティ フィルターを簡単に回避できる悪質な新しい広告を作成できます。
これにより、盗まれたアカウントがマルウェアの拡散に利用されるという自己維持サイクルが生まれます。盗まれた認証情報は、おそらく闇市場で販売され、犯罪者のさらなる利益につながります。
参照
Fake Meta Ads Hijacking Facebook Accounts to Spread SYS01 Infostealer