SYS01 Infostealer Campaign Exploits Meta Ads to Target Millions Worldwide
2024/11/02 SecurityOnline — オンライン広告への依存度が高まっている世界において、サイバー犯罪者たちは Meta の広大な広告エコシステムを悪用する機会を手にしている。そのような状況の中で、Bitdefender Labs が公表したレポートは、”SYS01 Infostealer” キャンペーンの詳細を記し、警告を発するものとなっている。このキャンペーンは、侵害した Facebook Business アカウントを悪用して、世界中のプラットフォームへ向けて、悪意の広告を配信する高度なマルバタイジング攻撃である。
Bitdefender Labs によると、SYS01 は普通のインフォスティーラーではなく、著名なソフトウェアやサービスに偽装してソーシャル・メディア広告から展開される、綿密に設計されたツールであるという。Bitdefender のレポートには、「SYS01 InfoStealer マルウェアは、このキャンペーンの中心的な武器であり、複数のプラットフォームの被害者を効果的にターゲットにしている」と記されている。
ElectronJs アプリケーションとして配信される SYS01 は、約 100 の悪意のドメインのネットワークを活用するものだが、それぞれのドメインが Command and Control (C2) 機能を備え、配布したマルウェアをリアルタイムで監視/管理している。
SYS01 キャンペーンの特徴は、広範囲に及ぶ信頼できるブランドを偽装しているところにある。 Bitdefender Labs の指摘は、「このハッカーは偽装するのは、CapCut などの人気のビデオ編集ソフトウェア/Office 365 などの生産性ツール/Netflix などのビデオ・ストリーミング・サービス/ビデオ・ゲームをなどの無数の広告である」というものだ。
これらの悪意の広告は、45 歳以上のユーザーを中心にして、何百万人もの潜在的な被害者に届くが、それらはセキュリティ・システムに検知されない。この偽装戦術により、広告の信頼性が高まり、正規/悪意のプロモーションをユーザーが区別することは、ほぼ不可能になる。
Bitdefender のレポートには、「SYS01 の成功は Facebook Business アカウントの乗っ取りにかかっている。それを成功させた後に、悪意の広告を広めるために悪用している。それらのアカウントにアクセスする SYS01 は、個人データを悪用するだけではなく、乗っ取ったアカウントを悪用して、さらなる悪意の広告を展開している」と記されている。正当なアカウントを利用することで、それらの悪意の広告はセキュリティ対策を回避して目立つことなく、このキャンペーンを効率的に拡大している。
Bitdefender が強調するのは、「SYS01 の作成者は、高度な回避戦術を採用し、マルウェアを更新しながた検出を回避している。サイバー・セキュリティ企業が、ローダーの特定のバージョンにフラグ付けしてブロックすると、このハッカーはコードを更新して迅速に対応する」という点だ。
このような戦術により、SYS01 はセキュリティ防御を先取りしている。其の結果として、SYS01 キャンペーンは効果を発揮し続け、北米/ヨーロッパ/アジア/オーストラリアなどの各地域で脅威を維持している。
たまに見るくらいの Facebook ですが、そこから広告を開くことはありません。しかし、モバイルの環境では、間違えて開いてしまうことが多々あります。そこで、ユーザー自身にとって興味のある広告が開けば、そのまま進んでしまうこともあり得るでしょう。そう考えると、この SYS01 のキャンペーンの成功率が、高いのも納得できます。ご注意ください。よろしければ、Meta + Facebook で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.