Постійну та дуже складну кампанію з мальвертизуючими у Facebook було розкрито лабораторіями Bitdefender, використовуючи довіру, пов’язану з основними біржами криптовалют для розповсюдження багатоступеневого зловмисного програмного забезпечення.
Ця постійна операція, активна протягом декількох місяців, станом на 2025 року, використовує передові методи ухилення, масове видання бренду та механізми відстеження користувачів для обходу звичайних захисних захисту.
Уособлюючи довірені платформи, такі як Binance, TradingView та Metamask, кіберзлочинці, приманюють жертв обіцянками фінансових прибутків та криптовалют, які часто використовують виготовлені схвалення від громадських діячів, таких як Елон Маск та Кріштіану Роналду для підвищення довіри.
Масштаб цієї кампанії є приголомшливою, визначені сотні шахрайських оголошень та рахунків, деякі генерують тисячі переглядів, перш ніж бути видалені рекламою мережі Meta.
Витончені цілі кампанії
Атака починається, коли нічого не підозрюють користувачі, натискають на оманливу рекламу, перенаправляючи їх на шкідливі сайти, що імітують законні платформи криптовалют.
Ці сайти спонукають користувачів завантажити передбачуваний “настільний клієнт”, часто названий installer.msiякий розгортає шкідливий DLL та встановлює локальний сервер на базі .NET на таких портах, як 30308 або 30303.
Цей сервер полегшує виконання віддаленого корисного навантаження та екзфільтрацію даних через кінцеві точки, як /set і /queryщо дозволяє зловмисникам запускати спеціальні запити WMI та виконувати кодовані сценарії PowerShell.
Особливо підступним аспектом цього зловмисного програмного забезпечення є його співпраця передньої та задньої співпраці: сценарій Deobulablated SharedWorker на шкідливій веб-сторінці спілкується з сервером LocalHost для організації доставки корисного навантаження, динамічно адаптується на основі середовища жертви.
Якщо підозрілі умови такі, як відсутні параметри відстеження AD (наприклад,, utm_campaign, fbid) або Виявлена поведінка, що нагадує пісочницю, Сайт обслуговує доброякісний вміст, ухиляючись від автоматизованого аналізу безпеки.
Крім того, нові варіанти наполягають на використанні Microsoft Edge, перенаправляючи користувачів інших браузерів на нешкідливі сторінки, додаючи ще один шар уникнення виявлення.
Тактика розгортання та ухилення
Витонченість зловмисного програмного забезпечення поширюється на її екзфільтрацію та еволюцію корисного навантаження.
Сценарії PowerShell, завантажені з серверів командування та контролю (C2), постійно отримують та виконують додатковий шкідливий код, націлювання на системні дані, такі як встановлене програмне забезпечення, специфікації GPU та дані геолокації з клавіш реєстру Windows.
Залежно від профілю жертви, сервери C2 можуть розгорнути індивідуальні корисні навантаження або, в середовищах пісочниці, інертні сценарії, розроблені для відходів часу аналізу, сплячи сотні годин.
Дослідники Bitdefender відзначили, що кампанія використовує декілька шарів обгрунтування та перевірки антисанок, що робить аналіз кінцевим до кінця складним.
Наприклад, націлювання часто налаштовується на конкретні демографічні показники, такі як чоловіки у віці 18 років у таких регіонах, як Болгарія та Словаччина, максимізуючи вплив тактики соціальної інженерії.
Ця гібридна загроза об'єднує фронт-обман з послугами зловмисного програмного забезпечення на основі Localhost, демонструючи чудову здатність адаптуватися в режимі реального часу.
Bitdefender виділяється як одне з небагатьох рішень безпеки, що виявляє як шкідливі сценарії DLL, так і передні сценарії через загальні підписи.
Кампанія підкреслює небезпечне перехрестя соціальної інженерії за допомогою оголошень у Facebook та криптовалют, перетворюючи, здавалося б, звичайні загрози на складні, ухильні операції.
Оскільки зловмисники вдосконалюють свої методи за допомогою розвиваються корисних навантажень та демографічного профілювання, ця схема зловживання створює значну проблему як для користувачів, так і для постачальників кібербезпеки, підкреслюючи нагальну потребу в посиленій пильності та вдосконалених механізмів виявлення в умовах таких динамічних кібер -загроз.
Налаштування команди SOC? -Завантажте безкоштовно посібник з ціноутворення Ultimate SIEM (PDF) для вашої команди SOC -> Безкоштовне завантаження
