Хакеры используют рекламу Facebook в качестве оружия для многоэтапных атак вредоносного ПО

Gurd 11/05/2025 0
Facebook

Лаборатория Bitdefender Labs раскрыла настойчивую и крайне сложную вредоносную рекламную кампанию на Facebook, которая эксплуатирует доверие крупных криптовалютных бирж для распространения многоэтапного вредоносного ПО.

Эта продолжающаяся операция, которая по состоянию на май 2025 года действует уже несколько месяцев, использует передовые методы уклонения от уплаты налогов, массовую имитацию брендов и механизмы отслеживания пользователей для обхода традиционных средств безопасности.

Выдавая себя за надежные платформы, такие как Binance, TradingView и MetaMask, киберпреступники заманивают жертв обещаниями финансовой выгоды и криптовалютных бонусов, часто используя для повышения доверия сфабрикованные одобрения от таких публичных личностей, как Илон Маск и Криштиану Роналду.

Масштабы этой кампании ошеломляют: были выявлены сотни мошеннических объявлений и аккаунтов, некоторые из которых набрали тысячи просмотров, прежде чем были удалены рекламной сетью Meta.

Сложная кампания нацелена на криптовалюту

Атака начинается, когда ничего не подозревающие пользователи нажимают на обманные объявления, перенаправляющие их на вредоносные сайты, имитирующие легитимные криптовалютные платформы.

Эти сайты предлагают пользователям загрузить предполагаемый «настольный клиент», часто называемый installer.msi, который развертывает вредоносную DLL и устанавливает локальный сервер на базе .NET на портах, таких как 30308 или 30303.

Этот сервер обеспечивает удаленное выполнение полезной нагрузки и кражу данных через такие конечные точки, как /setи /query, что позволяет злоумышленникам выполнять пользовательские запросы WMI и выполнять закодированные скрипты PowerShell.

Особенно коварным аспектом этого вредоносного ПО является взаимодействие между интерфейсом и сервером: деобфусцированный скрипт SharedWorker на вредоносной веб-странице взаимодействует с локальным сервером для организации доставки полезной нагрузки, динамически адаптируясь в зависимости от среды жертвы.

Facebook website

Сайт на Фейсбуке

При обнаружении подозрительных условий, таких как отсутствие параметров отслеживания рекламы (например, utm_campaignfbid) или поведение, подобное «песочнице», сайт отображает безвредный контент, избегая автоматизированного анализа безопасности.

Более того, более новые версии требуют использования Microsoft Edge , перенаправляя пользователей других браузеров на безвредные страницы, что добавляет еще один уровень обхода обнаружения.

Тактика развертывания вредоносного ПО и уклонения от него

Сложность вредоносного ПО распространяется на кражу данных и эволюцию полезной нагрузки.

Скрипты PowerShell, загружаемые с серверов управления и контроля (C2), постоянно извлекают и выполняют дополнительный вредоносный код, нацеленный на системные данные, такие как установленное программное обеспечение, характеристики графического процессора и данные геолокации из разделов реестра Windows.

В зависимости от профиля жертвы серверы C2 могут развертывать специализированные полезные нагрузки или, в изолированных средах, инертные скрипты, предназначенные для траты времени анализа путем бездействия в течение сотен часов.

Исследователи Bitdefender отметили , что кампания использует несколько уровней обфускации и проверок «песочницы», что затрудняет сквозной анализ.

Например, таргетинг часто настраивается на конкретные демографические группы, например, на мужчин в возрасте 18 лет и старше в таких регионах, как Болгария и Словакия, что позволяет максимально повысить эффективность тактики социальной инженерии.

Эта гибридная угроза объединяет обман на стороне пользователя с локальными вредоносными службами, демонстрируя замечательную способность адаптироваться в режиме реального времени.

Bitdefender выделяется как одно из немногих решений безопасности, которое обнаруживает как вредоносные DLL, так и интерфейсные скрипты с помощью общих сигнатур.

Кампания подчеркивает опасное пересечение социальной инженерии с помощью рекламы в Facebook и ажиотажа вокруг криптовалюты, превращая, казалось бы, обычные угрозы в сложные, трудноуловимые операции.

Поскольку злоумышленники совершенствуют свои методы, используя новые полезные нагрузки и демографическое профилирование, эта схема вредоносной рекламы представляет собой серьезную проблему как для пользователей, так и для поставщиков услуг кибербезопасности, подчеркивая острую необходимость в повышенной бдительности и передовых механизмах обнаружения перед лицом столь динамичных киберугроз.

Источник   —   https://maombi.store/

About The Author

Gurd

See author's posts

Post Views: 25

Больше историй

STK175_DONALD_TRUMP_CVIRGINIA_C

Трамп уволил главу Бюро по авторским правам через два дня после сообщения о том, что обучение ИИ может быть нечестным использованием

Gurd 12/05/2025 0
FT_20.12.10_FacebookFacts_feature-jpg

FTC против Meta: антимонопольная битва вокруг WhatsApp и Instagram

Gurd 12/05/2025 0
bitkoin-kriptovalyuta-bitcoin-2

Дoгoвopённocти CШA и Kитaя пo пoшлинaм пoдняли биткoин вышe $105,000

Gurd 12/05/2025 0

Добавить комментарий

Возможно, вы пропустили

STK175_DONALD_TRUMP_CVIRGINIA_C

Трамп уволил главу Бюро по авторским правам через два дня после сообщения о том, что обучение ИИ может быть нечестным использованием

Gurd 12/05/2025 0
FT_20.12.10_FacebookFacts_feature-jpg

FTC против Meta: антимонопольная битва вокруг WhatsApp и Instagram

Gurd 12/05/2025 0
bitkoin-kriptovalyuta-bitcoin-2

Дoгoвopённocти CШA и Kитaя пo пoшлинaм пoдняли биткoин вышe $105,000

Gurd 12/05/2025 0
xrp-kriptovalyuta-ripple-ii-jpg

Чaт-бoт ChatGPT выпoлнил пpoгнoз пo цeнe XRP нa 1 июня 2025 гoдa

Gurd 12/05/2025 0
Ransomware Via JPG Images

Хакеры используют изображения JPG для запуска полностью невидимого вируса-вымогателя

Gurd 12/05/2025 0