Остерегайтесь поддельной рекламы Facebook, содержащей опасное вредоносное ПО

Ведущая в мире компания по безопасности Bitdefender (Румыния) только что выпустила предупреждение о новой изощренной атаке, в ходе которой киберпреступники воспользовались рекламной платформой Meta для создания поддельных объявлений, имитирующих популярные сервисы, чтобы обманом заставить пользователей Facebook нажимать на вредоносные ссылки.

После установки вредоносная программа SYS01 незаметно крадет конфиденциальную информацию, такую ​​как пароли, номера кредитных карт и другие персональные данные, что позволяет хакерам взламывать учетные записи и совершать финансовые мошенничества.

По данным предупреждения Bitdefender, эта атака носит масштабный характер: киберпреступники выдают себя за такие известные бренды, как Netflix, Office 365 и CapCut, и наносят пользователям большой ущерб.

Исследователи в своем отчете заявили, что вредоносные кампании, которые в основном направлены на то, чтобы обманом заставить пользователей установить вредоносное ПО и украсть личную информацию, за последний месяц нанесли серьезный удар по таким метаплатформам, как Facebook.

Киберпреступники постоянно совершенствуют свои тактики, используя поддельную рекламу для заманивания пользователей. Они выдают себя за развлекательные платформы, такие как Netflix, обещая «бесплатный сервис без рекламы», или за инструменты для повышения производительности, например, программы для редактирования фото и видео или даже видеоигры, пытаясь обмануть пользователей.

«Некоторые объявления могут длиться неделями и в первую очередь нацелены на пожилых мужчин», — говорится в отчете Bitdefender Labs.

Эти объявления часто содержат ссылки на облачное хранилище MediaFire, которые побуждают пользователей загружать вредоносные ZIP-файлы. Внутри этих файлов находятся приложения, созданные с использованием веб-технологий и содержащие вредоносный код. При открытии приложения вредоносный код активируется и атакует систему.

Bitdefender отмечает, что вредоносное ПО часто очень хитро скрывается внутри поддельных приложений, действуя незаметно и нанося серьёзный ущерб, не оставляя видимых следов. Это значительно затрудняет обнаружение пользователями того, что они стали жертвами кибератак.

Цепочка заражения вредоносным ПО часто проходит через множество сложных этапов, чтобы избежать обнаружения антивирусными программами. Проникая в систему через уязвимости безопасности, вредоносное ПО автоматически распространяется, шифрует важные файлы и даже создает свои копии для поддержания своего существования.

Основная цель вредоносного ПО SYS01 для кражи конфиденциальной информации из аккаунтов Facebook, в частности, целевого использования бизнес-страниц для получения незаконной прибыли. Благодаря возможности обновления команд управления с центрального сервера, SYS01 может гибко изменять поведение атак, затрудняя обнаружение и предотвращение. Информация, полученная от жертв, может быть использована для других вредоносных целей или продана в даркнете.

Bitdefender обнаружил обширную сеть из почти 100 вредоносных доменов, используемых хакерами для запуска мошеннических рекламных кампаний, направленных на кражу личной информации пользователей.

Исследователи Bitdefender заявили, что вредоносная программа очень сложна и использует множество уловок, чтобы избежать обнаружения антивирусным ПО. Одна из них — способность обнаруживать виртуальные среды (песочницы) для маскировки своего вредоносного поведения.

«Когда компании, занимающиеся кибербезопасностью, начинают выявлять и блокировать определённую версию загрузчика, хакеры быстро реагируют, обновляя код. Затем они запускают новые объявления с обновлённым вредоносным ПО, чтобы обойти новейшие меры безопасности», — добавил Bitdefender.

Взломанные аккаунты Facebook Business стали ценным ресурсом для вредоносных рекламных кампаний. Используя возможности рекламной платформы Facebook, киберпреступники могут легко автоматически создавать и распространять поддельную рекламу, увеличивая вероятность обмана пользователей и причинения экономического ущерба.

Впервые появившись в сентябре 2024 года, эта атака быстро распространилась по всему миру, затронув миллионы пользователей в таких крупных регионах, как Европа, Северная Америка, Австралия и Азия. Основными целями стали мужчины среднего возраста от 45 лет и старше.