Peneliti keamanan siber telah mengungkap kampanye malvertising yang menyalahgunakan platform periklanan Meta dan membajak akun Facebook untuk mendistribusikan informasi yang dikenal sebagai SYS01stealer.
“Para peretas di balik kampanye ini menggunakan merek tepercaya untuk memperluas jangkauan mereka,” kata Bitdefender Labs dalam laporan yang dibagikan kepada The Hacker News.
“Kampanye malvertising memanfaatkan hampir seratus domain berbahaya, yang digunakan tidak hanya untuk mendistribusikan malware tetapi juga untuk operasi perintah dan kontrol langsung (C2), yang memungkinkan pelaku ancaman untuk mengelola serangan secara real-time.”
SYS01stealer pertama kali didokumentasikan oleh Morphisec pada awal tahun 2023, menggambarkan kampanye serangan yang menargetkan akun bisnis Facebook menggunakan iklan Google dan profil Facebook palsu yang mempromosikan game, konten dewasa, dan perangkat lunak yang diretas.
Seperti malware pencuri lainnya, tujuan akhirnya adalah mencuri kredensial login, riwayat penelusuran, dan cookie. Namun mereka juga fokus pada perolehan data iklan Facebook dan akun bisnis, yang kemudian digunakan untuk menyebarkan malware lebih lanjut melalui iklan palsu.
“Akun Facebook yang dibajak berfungsi sebagai landasan untuk meningkatkan keseluruhan operasi,” kata Bitdefender. “Setiap akun yang disusupi dapat digunakan untuk mempromosikan iklan berbahaya tambahan, memperkuat jangkauan kampanye tanpa peretas perlu membuat sendiri akun Facebook baru.”
Vektor utama distribusi SYS01stealer adalah melalui maliklan di seluruh platform seperti Facebook, YouTube, dan LinkedIn, dengan iklan yang mempromosikan tema Windows, game, perangkat lunak AI, editor foto, VPN, dan layanan streaming film. Mayoritas iklan Facebook dirancang untuk menargetkan pria berusia 45 tahun ke atas.
“Ini secara efektif memikat korban untuk mengeklik iklan tersebut dan data browser mereka dicuri,” kata Trustwave dalam analisis malware tersebut pada Juli 2024.
“Jika ada informasi terkait Facebook dalam data tersebut, ada kemungkinan tidak hanya data browser mereka dicuri tetapi juga akun Facebook mereka dikendalikan oleh pelaku ancaman untuk menyebarkan iklan palsu dan melanjutkan siklus tersebut.”
Pengguna yang akhirnya berinteraksi dengan iklan tersebut dialihkan ke situs menipu yang dihosting di Google Sites atau True Hosting yang menyamar sebagai merek dan aplikasi sah dalam upaya untuk memulai infeksi. Serangan tersebut juga diketahui menggunakan akun Facebook yang dibajak untuk mempublikasikan iklan palsu.
Payload tahap pertama yang diunduh dari situs-situs ini adalah arsip ZIP yang menyertakan file executable jinak, yang digunakan untuk melakukan sideload DLL berbahaya yang bertanggung jawab untuk mendekode dan meluncurkan proses multi-tahap.
Hal ini termasuk menjalankan perintah PowerShell untuk mencegah malware berjalan di lingkungan sandbox, memodifikasi pengaturan Microsoft Defender Antivirus untuk mengecualikan jalur tertentu guna menghindari deteksi, dan menyiapkan lingkungan operasi untuk menjalankan pencuri berbasis PHP.
Dalam rantai serangan terbaru yang diamati oleh perusahaan keamanan siber Rumania, arsip ZIP dilengkapi dengan aplikasi Electron, yang menunjukkan bahwa pelaku ancaman terus mengembangkan strategi mereka.
Juga hadir dalam Atom Shell Archive (ASAR) adalah file JavaScript (“main.js”) yang sekarang menjalankan perintah PowerShell untuk melakukan pemeriksaan kotak pasir dan mengeksekusi pencuri. Ketekunan di host dicapai dengan menyiapkan tugas terjadwal.
“Kemampuan beradaptasi para penjahat dunia maya di balik serangan ini menjadikan kampanye pencurian info SYS01 sangat berbahaya,” kata Bitdefender. “Malware ini menggunakan deteksi sandbox, menghentikan operasinya jika terdeteksi dijalankan di lingkungan terkendali, sering kali digunakan oleh analis untuk memeriksa malware. Hal ini memungkinkannya tetap tidak terdeteksi dalam banyak kasus.”
“Ketika perusahaan keamanan siber mulai menandai dan memblokir versi loader tertentu, para peretas merespons dengan cepat dengan memperbarui kodenya. Mereka kemudian meluncurkan iklan baru dengan malware terbaru yang menghindari langkah-langkah keamanan terbaru.”
Kampanye Phishing Menyalahgunakan Eventbrite
Perkembangan ini terjadi ketika Perception Point merinci kampanye phishing yang menyalahgunakan acara Eventbrite dan platform tiket untuk mencuri informasi keuangan atau pribadi.
Email, dikirim melalui [email protected][.]com, meminta pengguna mengklik tautan untuk membayar tagihan terutang atau mengonfirmasi alamat pengiriman paket mereka, setelah itu mereka diminta memasukkan detail login dan kartu kredit mereka.
Serangan itu sendiri dimungkinkan oleh fakta bahwa pelaku ancaman mendaftar ke akun resmi di layanan dan membuat acara palsu dengan menyalahgunakan reputasi merek terkenal, menyematkan tautan phishing dalam deskripsi atau lampiran acara. Undangan acara kemudian dikirim ke target mereka.
“Karena email dikirim melalui domain dan alamat IP Eventbrite yang terverifikasi, kemungkinan besar email tersebut lolos filter email dan berhasil mencapai kotak masuk penerima,” kata Perception Point.
“Domain pengirim Eventbrite juga meningkatkan kemungkinan penerima membuka email dan mengeklik tautan phishing. Penyalahgunaan platform Eventbrite ini memungkinkan penyerang menghindari deteksi, memastikan pengiriman dan tingkat keterbukaan yang lebih tinggi.”
Jenis Pemotongan Babi yang Berbeda
Pemburu ancaman juga meminta perhatian terhadap peningkatan penipuan mata uang kripto yang menyamar sebagai berbagai organisasi untuk menargetkan pengguna dengan tawaran pekerjaan palsu yang konon memungkinkan mereka mendapatkan uang sambil bekerja dari rumah. Pesan yang tidak diminta tersebut juga mengklaim mewakili merek sah seperti Spotify, TikTok, dan Temu.
Kegiatan dimulai melalui media sosial, SMS, dan aplikasi perpesanan seperti WhatsApp dan Telegram. Pengguna yang setuju untuk mengambil pekerjaan tersebut diinstruksikan oleh penipu untuk mendaftar di situs web jahat menggunakan kode referensi, setelah itu mereka diminta untuk menyelesaikan berbagai tugas – mengirimkan ulasan palsu, memesan produk, memutar lagu tertentu di Spotify, atau memesan hotel.
Penipuan ini terjadi ketika saldo akun komisi palsu korban tiba-tiba menjadi negatif dan mereka didesak untuk menambah saldo dengan menginvestasikan mata uang kripto mereka sendiri untuk mendapatkan bonus dari tugas tersebut.
“Lingkaran setan ini akan terus berlanjut selama para penipu mengira korbannya akan terus membayar ke sistem,” kata peneliti Proofpoint. “Jika mereka mencurigai korbannya telah mengetahui penipuan tersebut, mereka akan mengunci akunnya dan membuat mereka menjadi hantu.”
Skema terlarang ini dengan tingkat keyakinan tinggi dikaitkan dengan pelaku ancaman yang juga melakukan pemotongan babi, yang juga dikenal sebagai penipuan investasi mata uang kripto berbasis romansa.
“Penipuan pekerjaan mempunyai keuntungan yang lebih kecil namun lebih sering bagi para penipu dibandingkan dengan pemotongan babi,” kata Proofpoint. “Aktivitas ini memanfaatkan pengenalan merek populer sebagai pengganti penipuan kepercayaan berbasis cinta yang sudah berlangsung lama.”
