資安業者Bitdefender針對最新一波的竊資軟體SYS01stealer攻擊行動提出警告,指出駭客在散布惡意程式的同時,也提供他們標榜的應用程式,而能讓使用者不易察覺已經受害
駭客挾持臉書企業帳號濫用Meta廣告平臺散布竊資軟體的情況,不時有事故傳出,最近有研究人員提出警告,他們發現有人冒用使用者相當信賴的品牌,佯稱提供遊戲、破解軟體等內容,意圖散布惡意程式的新一波攻擊行動。
資安業者Bitdefender指出,他們看到駭客透過Meta的廣告平臺散布惡意廣告,自9月開始為期超過1個月,而且,每天都會上架新的廣告,這些廣告的最終目的,就是散布名為SYS01stealer的竊資軟體。
研究人員指出,這起攻擊行動的範圍橫跨全球,潛在的目標估計可能有數百萬人,歐盟、北美、澳洲、亞洲都出現相關攻擊,尤其是針對45歲以上的男性。
駭客聲稱提供影片編輯軟體CapCut、生產力工具Microsoft 365、影音串流服務Netflix,以及電玩遊戲等誘餌,來吸引目標使用者上當。駭客同時運用接近100個網域名稱散布惡意程式,並架設C2伺服器,這麼做的目的,是讓攻擊者能夠即時控管整個攻擊流程。
竊資軟體SYS01stealer最初由資安業者Morphisec於去年初揭露,當時駭客使用Google廣告及偽造的臉書個人資料來散布。如今攻擊者散布的管道有所不同,手法也出現變化。
在這波攻擊行動當中,對方運用Electron應用程式來散布惡意程式。研究人員指出,攻擊者的廣告內容,通常帶有指向雲端檔案共享服務(如MediaFire)的連結,一旦使用者點選,就會下載內含Electron應用程式的ZIP壓縮檔。
若是使用者執行應用程式,其中嵌入的JavaScript程式碼就會載入、並於後臺執行惡意軟體。由於駭客宣稱提供的應用程式似乎能正常運作,因此受害者難以察覺異狀。
值得留意的是,這些駭客採用多種迴避偵測策略,避免被網路安全系統識別為有害。首先,竊資軟體在執行每個主要元件之前,都會先進行沙箱環境的檢查;一旦資安業者察覺並將惡意程式的載入工具視為有害,攻擊者也會迅速更新惡意軟體及廣告,而能逃過相關偵測。
