Penjahat dunia maya menggunakan halaman bisnis dan iklan Facebook untuk mempromosikan tema Windows palsu yang menginfeksi pengguna yang tidak menaruh curiga dengan malware pencuri kata sandi SYS01.
Peneliti Trustwave yang mengamati kampanye tersebut mengatakan para pelaku ancaman juga mempromosikan unduhan palsu untuk permainan dan perangkat lunak bajakan, Sora AI, pembuat gambar 3D, dan One Click Active.
Meski penggunaan iklan Facebook untuk menyebarkan malware pencuri informasi bukanlah hal baru, jangkauan luas platform media sosial ini membuat kampanye ini menjadi ancaman signifikan.
Iklan Facebook
Pelaku ancaman mengeluarkan iklan yang mempromosikan tema Windows, unduhan permainan gratis, dan crack aktivasi perangkat lunak untuk aplikasi populer, seperti Photoshop, Microsoft Office, dan Windows.
Sumber: Trustwave
Iklan-iklan ini dipromosikan melalui halaman bisnis Facebook yang baru dibuat atau dengan membajak halaman-halaman yang sudah ada. Saat menggunakan halaman Facebook yang dibajak, pelaku ancaman mengganti nama halaman-halaman tersebut agar sesuai dengan tema iklan mereka dan untuk mempromosikan unduhan kepada anggota halaman yang sudah ada.
“Pelaku ancaman menggunakan identitas bisnis dengan mengganti nama halaman Facebook, hal ini memungkinkan mereka memanfaatkan basis pengikut yang ada untuk memperluas jangkauan iklan penipuan mereka secara signifikan,” demikian bunyi laporan Trustwave.
“Patut digarisbawahi bahwa masing-masing halaman ini dikelola oleh individu yang berada di Vietnam atau Filipina pada berbagai titik waktu.”
Trustwave menyatakan bahwa pelaku ancaman mengeluarkan ribuan iklan untuk setiap kampanye, dengan kampanye teratas diberi nama blue-softs (8.100 iklan), xtaskbar-themes (4.300 iklan), newtaskbar-themes (2.200 iklan), dan awesome-themes-desktop (1.100 iklan).
Saat pengguna Facebook mengklik iklan tersebut, mereka akan dibawa ke halaman web yang dihosting di Google Sites atau True Hosting yang berpura-pura menjadi halaman unduhan untuk konten yang dipromosikan iklan tersebut.
Halaman True Hosting terutama digunakan untuk mempromosikan situs web bernama Blue-Software, yang konon menawarkan unduhan perangkat lunak dan permainan gratis.
Sumber: Trustwave
Mengeklik tombol ‘Unduh’ akan menyebabkan peramban mengunduh arsip ZIP yang diberi nama sesuai item tertentu. Misalnya, mengunduh tema Windows palsu akan menghasilkan arsip bernama ‘Awesome_Themes_for_Win_10_11.zip’, dan Photoshop akan menjadi ‘Adobe_Photoshop_2023.zip.’
Meskipun pengunduh mungkin mengira mereka sekarang mendapatkan aplikasi, permainan, atau tema Windows gratis, arsip tersebut sebenarnya berisi malware pencuri informasi SYS01.
Malware ini pertama kali ditemukan oleh Morphisec pada tahun 2022 dan memanfaatkan kumpulan executable, DLL, skrip PowerShell, dan skrip PHP untuk mencuri, menginstal malware, dan mencuri data dari komputer yang terinfeksi.
Saat eksekusi utama arsip dimuat, ia menggunakan DLL sideloading untuk memuat DLL berbahaya yang mulai menyiapkan lingkungan operasi malware.
Ini termasuk menjalankan skrip PowerShell untuk mencegah malware berjalan di lingkungan virtual untuk menghindari deteksi, menambahkan pengecualian folder di Windows Defender, dan mengonfigurasi lingkungan operasi PHP untuk memuat skrip PHP berbahaya.
Muatan utama malware pencuri informasi SYS01 terdiri dari skrip PHP yang membuat tugas terjadwal untuk persistensi dan mencuri data dari perangkat.
Data yang dicuri termasuk cookie browser, kredensial yang disimpan di browser, riwayat browser, dan dompet mata uang kripto.
Sumber: Trustwave
Malware tersebut juga mencakup tugas yang memanfaatkan cookie Facebook yang ditemukan di perangkat untuk mencuri informasi akun dari situs media sosial:
- Mengekstrak informasi profil pribadi seperti nama, email, dan tanggal lahir.
- Mengambil data akun periklanan terperinci, termasuk pengeluaran dan metode pembayaran.
- Data termasuk bisnis, akun iklan, dan pengguna bisnis, menyoroti kedalaman akses ke data keuangan komersial dan sensitif.
- Rincian mengenai halaman Facebook yang dikelola oleh pengguna, termasuk jumlah pengikut dan peran.
Data yang dicuri disimpan sementara dalam folder %Temp% sebelum dikirim ke penyerang.
Sumber: Trustwave
Cookie dan kata sandi yang dicuri nantinya dapat dijual ke pelaku ancaman lain atau digunakan untuk membobol akun-akun lain milik korban, sedangkan data Facebook kemungkinan digunakan untuk membajak akun-akun lain untuk kampanye malvertising di masa mendatang.
Trustwave mengatakan bahwa malvertising ini tidak hanya terbatas pada Facebook, profil serupa juga dibuat di LinkedIn dan YouTube.
“Kampanye malvertisement SYS01 yang sedang berlangsung menimbulkan ancaman bagi khalayak yang lebih luas dan menunjukkan pentingnya mewaspadai apa yang dilakukan pengguna di media sosial,” simpul Trustwave.
“Sejak pertama kali ditemukan pada tahun 2022, malware SYS01 telah mengubah metode pengirimannya dengan menjauh dari clickbait bertema dewasa dan iklan terkait game ke pendekatan yang menargetkan khalayak umum seperti tema Windows dan iklan perangkat lunak berbasis AI.”
gelombang kepercayaan dilaporkan pada bulan Februari tentang kampanye malvertising Facebook serupa yang mendorong malware pencuri kata sandi Ov3r_Stealer.
Baru-baru ini, Bitdefender memperingatkan bahwa pelaku ancaman membajak halaman Facebook dengan jutaan pengguna untuk meniru proyek AI populerHalaman-halaman ini kemudian digunakan untuk menyebarkan malware pencuri informasi, seperti Rilide, Vidar, IceRAT, dan Nova.
