

资安业者Bitdefender针对最新一波的窃资软件SYS01stealer攻击行动提出警告,指出黑客在散布恶意程序的同时,也提供他们标榜的应用程序,而能让用户不易察觉已经受害
黑客挟持脸书企业帐号滥用Meta广告平台散布窃资软件的情况,不时有事故传出,最近有研究人员提出警告,他们发现有人冒用用户相当信赖的品牌,佯称提供游戏、破解软件等内容,意图散布恶意程序的新一波攻击行动。
资安业者Bitdefender指出,他们看到黑客通过Meta的广告平台散布恶意广告,自9月开始为期超过1个月,而且,每天都会上架新的广告,这些广告的最终目的,就是散布名为SYS01stealer的窃资软件。
研究人员指出,这起攻击行动的范围横跨全球,潜在的目标估计可能有数百万人,欧盟、北美、澳洲、亚洲都出现相关攻击,尤其是针对45岁以上的男性。
黑客声称提供视频编辑软件CapCut、生产力工具Microsoft 365、影音串流服务Netflix,以及电玩游戏等诱饵,来吸引目标用户上当。黑客同时运用接近100个网域名称散布恶意程序,并架设C2服务器,这么做的目的,是让攻击者能够即时控管整个攻击流程。
窃资软件SYS01stealer最初由资安业者Morphisec于去年初揭露,当时黑客使用Google广告及伪造的脸书个人数据来散布。如今攻击者散布的管道有所不同,手法也出现变化。
在这波攻击行动当中,对方运用Electron应用程序来散布恶意程序。研究人员指出,攻击者的广告内容,通常带有指向云端文件共享服务(如MediaFire)的链接,一旦用户点击,就会下载内含Electron应用程序的ZIP压缩档。
若是用户运行应用程序,其中嵌入的JavaScript代码就会加载、并于后台运行恶意软件。由于黑客宣称提供的应用程序似乎能正常运作,因此受害者难以察觉异状。
值得留意的是,这些黑客采用多种回避侦测策略,避免被网络安全系统识别为有害。首先,窃资软件在运行每个主要组件之前,都会先进行沙箱环境的检查;一旦资安业者察觉并将恶意程序的加载工具视为有害,攻击者也会迅速更新恶意软件及广告,而能逃过相关侦测。