Alcuni criminali informatici hanno lanciato una nuova campagna mirata agli utenti di Facebook e stanno sfruttando la pubblicità di Meta per imitare servizi legittimi e diffondere il malware SYS01 infostealer, che può dirottare account e informazioni personali, avverte Bitdefender.
Pubblicità ingannevole su Facebook e su Instagram, come funziona l’inganno
Bitdefender Labs ha scoperto un attacco in corso che impersona marchi popolari, come Netflix, Office 365, CapCut e altri, su vasta scala.
Al centro di questa campagna si trova il malware SYS01 infostealer, distribuito su più piattaforme Meta.
“La campagna di malvertising che ha causato disagi sulle piattaforme Meta per almeno un mese è in continua evoluzione, con nuovi annunci che compaiono quotidianamente“, hanno dichiarato i ricercatori in un rapporto.
I criminali informatici pubblicano annunci che imitano strumenti software di uso comune. Uno degli annunci osservati simula Netflix e attira gli utenti con la promessa di streaming “gratuito e senza pubblicità“, mentre altre pubblicità sono camuffate come strumenti di produttività, editing video o foto, reti private virtuali, software di messaggistica istantanea o persino videogiochi.
“Alcune pubblicità possono rimanere attive per settimane, prendendo di mira principalmente uomini anziani.“
Cosa contengono questi link ingannevoli di pubblicità: la breve analisi tecnica
Questi annunci solitamente includono o fanno riferimento a un link al servizio di archiviazione cloud MediaFire, che consente il download diretto del software dannoso; il payload è confezionato come un archivio .zip contenente un’applicazione Electron, che è un’applicazione multipiattaforma costruita utilizzando HTML, CSS, Javascript e altre tecnologie web. Il codice dannoso è incorporato nell’app e attiva il malware.
“In molti casi, il malware opera in background mentre un’app di copertura – spesso simile al software promosso dall’annuncio – sembra funzionare normalmente, rendendo difficile per la vittima accorgersi della compromissione“, ha notato Bitdefender.
La catena di infezione completa include più passaggi per nascondersi dagli strumenti di sicurezza.
Il modus operandi del malware e dei criminali informatici
L’obiettivo del SYS01 infostealer sembra essere ottenere informazioni sugli account Facebook, in particolare le pagine aziendali; il malware può aggiornare dinamicamente i server di comando e controllo e ottenere nuovi comandi in tempo reale e le informazioni raccolte dalle vittime possono essere utilizzate per altri scopi malevoli o vendute sul dark web.
Bitdefender ha scoperto quasi un centinaio di domini dannosi utilizzati dalla campagna di malvertising.
“Utilizzano tattiche avanzate di evasione per mantenere l’infostealer nascosto agli strumenti di sicurezza informatica. Il malware impiega la rilevazione della sandbox“, hanno dichiarato i ricercatori di Bitdefender, i quali hanno poi rimarcato: “Quando le aziende di sicurezza informatica iniziano a segnalare e bloccare una specifica versione del loader, gli hacker rispondono rapidamente aggiornando il codice. Poi rilanciano nuovi annunci con malware aggiornato che aggira le misure di sicurezza più recenti.”
Questo perché quando un malware ha del codice “nuovo”, ancora gli strumenti classici e anche potenti come Windows Defender o Malwarebytes Anti-Malware non hanno ancora le definizioni per poter contrastare queste minacce informatiche.
Gli account Facebook compromessi alimentano la campagna fornendo risorse per lanciare altri annunci e i criminali informatici usano account aziendali di Facebook compromessi per ampliare la portata degli annunci malevoli senza destare sospetti.
Rilevata per la prima volta a settembre 2024, la campagna ha già una portata globale, raggiungendo milioni di potenziali vittime nell’UE, in Nord America, in Australia e in Asia; gli uomini di età superiore ai 45 anni sembrano essere un obiettivo principale.
Come difendersi da queste pubblicità ingannevoli
Ormai dovrebbe essere chiaro che la prima regola è quella di non cliccare su link ingannevoli, eppure questa regola (ormai scontata), dovrebbe essere all’ordine del giorno quando si naviga.
Sia chiaro che l’intrattenimento gratuito senza problemi fa gola a tutti, ma nessuno perderebbe settimane se non mesi della propria vita senza ottenere nulla in cambio.
Queste pubblicità ingannevoli non fanno eccezione, ricorda che il primo vero antivirus e antimalware sei proprio tu.
