Table of Contents
Pesquisadores em cibersegurança descobriram uma campanha contínua de malvertising que explora a plataforma de anúncios da Meta, sequestrando contas do Facebook para disseminar o malware conhecido como SYS01stealer.
Os hackers por trás da campanha utilizam marcas confiáveis para aumentar seu alcance, conforme relataram os Bitdefender Labs.
A campanha utiliza quase cem domínios maliciosos, que servem para distribuir o malware e realizar operações de comando e controle (C2) em tempo real, permitindo que os criminosos gerenciem o ataque instantaneamente.
O SYS01stealer foi primeiro documentado pela Morphisec no início de 2023, descrevendo ataques que visavam contas comerciais do Facebook por meio de anúncios do Google e perfis falsos promovendo jogos e conteúdo pirata.
Como outros malwares do tipo stealer, o foco é roubar credenciais de login, histórico de navegação e cookies. Também busca dados de anúncios e contas comerciais do Facebook, que são usados para disseminar ainda mais malvertising.
As contas sequestradas funcionam como base para escalar a operação, permitindo que cada conta compromissada promova anúncios maliciosos adicionais sem que os hackers precisem criar novas contas.
O principal vetor de disseminação do SYS01stealer é o malvertising em plataformas como Facebook, YouTube e LinkedIn. Anúncios promovem temas variados, incluindo software de IA e serviços de streaming.
Esses anúncios são direcionados principalmente a homens com 45 anos ou mais, atraindo vítimas a clicarem e terem seus dados do navegador roubados, conforme análise da Trustwave em julho de 2024.
Usuários que interagem com os anúncios são redirecionados para sites enganosos que imitam marcas legítimas, iniciando o processo de infecção. A primeira carga útil é um arquivo ZIP com um executável benigno, que carrega um DLL malicioso para iniciar o ataque.
Isso inclui comandos PowerShell para evitar detecções de ambiente isolado e modificações nas configurações do Microsoft Defender Antivirus. Também organiza um ambiente operacional para executar o stealer baseado em PHP.
Nos ataques mais recentes, arquivos ZIP incluem um aplicativo Electron, evidenciando que os criminosos evoluem suas técnicas. Dentro do Atom Shell Archive (ASAR), um arquivo JavaScript executa comandos PowerShell para checar sandbox e executar o stealer.
A persistência no host é conseguida por tarefas agendadas, tornando a campanha SYS01 especialmente perigosa. O malware detecta sandboxes, interrompendo operações em ambientes controlados utilizados por analistas.
Quando empresas de cibersegurança bloqueiam uma versão do loader, os hackers atualizam o código e publicam novos anúncios com malware para evitar as mais recentes medidas de segurança.
Campanhas de Phishing Abusam do Eventbrite
Paralelamente, a Perception Point analisou campanhas de phishing que abusam do Eventbrite para roubar informações financeiras.
E-mails enviados através de noreply@events.eventbrite[.]com pedem aos usuários que cliquem em links para pagar contas pendentes ou confirmar entregas, solicitando informações de login e dados do cartão.
Os criminosos criam eventos falsos em contas legítimas, embutindo links de phishing. Assim, os e-mails têm maior probabilidade de não serem filtrados como spam.
Isso aumenta as taxas de entrega e abertura, tornando o ataque mais eficaz, segundo a Perception Point .
Corte de Porco de Outro Tipo
Além disso, surgem fraudes de criptomoeda que imitam organizações para atrair usuários com ofertas de emprego falsas, representando marcas conhecidas como Spotify e TikTok.
Esses golpes iniciam-se em redes sociais e aplicativos de mensagens. Usuários que aceitam os empregos são levados a se registrar em sites maliciosos com códigos de referência.
O golpe se desenrola quando as vítimas veem saldos negativos em contas falsas, sendo instadas a investir sua própria criptomoeda para ganhar bônus.
Esse ciclo persiste enquanto os golpistas acreditam que a vítima continuará investindo. Caso desconfiem, bloqueiam a conta, deixando a vítima sem acesso.
A fraude de emprego oferece retornos menores, mas mais frequentes, comparada a cortes de porco. Essa atividade utiliza marcas populares para maximizar o reconhecimento e evitar detecções.
Técnicas de Evasão do SYS01stealer
- DLL Side-Loading: O SYS01stealer emprega a técnica de DLL side-loading, carregando bibliotecas dinâmicas maliciosas (DLLs) ao lado de aplicativos legítimos. Isso permite sequestrar a execução de apps confiáveis, carregando payloads maliciosos sem ser detectado.
- Uso de Aplicativos Legítimos: Este malware abusa de aplicativos como o WDSyncService.exe da Western Digital e ElevatedInstaller.exe da Garmin para carregar DLLs maliciosas. Essa tática evita a detecção, já que os sistemas de segurança confiam em apps assinados.
- Lures e Engenharia Social: Os atacantes criam anúncios no Google e perfis falsos no Facebook para atrair vítimas a baixar arquivos maliciosos disfarçados. Essa estratégia de engenharia social contorna defesas baseadas na detecção convencional de malware.
- Execução de Código Intermediário: Após a infecção, o SYS01stealer deploya executáveis intermediários em Python e Rust, dificultando a detecção por sistemas de segurança tradicionais.
Comparação com Estratégias Anteriores
Técnicas Contra a Segurança e Sandboxes
Em comparação com malwares mais antigos, o SYS01stealer não se limita às técnicas de criptografia e ofuscação. Ele adota métodos sofisticados de evasão, como o DLL side-loading, que são mais complexos e difíceis de detectar do que as abordagens tradicionais.
Esteganografia e Ofuscação
Diferente de malwares antigos que utilizavam esteganografia para esconder códigos maliciosos, o SYS01stealer usa aplicativos legítimos como camuflagem, representando uma evolução nas táticas de ocultação.
Interação do Usuário e Conhecimento do Sistema
Muitos malwares antigos dependiam da interação do usuário e do conhecimento do sistema. O SYS01stealer, no entanto, foca na exploração de vulnerabilidades em aplicativos legítimos, combinado com engenharia social, mostrando um avanço nas técnicas de evasão.
Em resumo, o SYS01stealer representa uma evolução nas técnicas de evasão, utilizando métodos mais sofisticados, como exploração de vulnerabilidades e engenharia social, desafiando as defesas de segurança. Essas abordagens são mais complexas e difíceis de detectar em relação às estratégias tradicionais utilizadas por malwares anteriores.
Implicações do DLL Side-Loading pelo SYS01stealer
A técnica de DLL side-loading utilizada pelo SYS01stealer e outros malwares traz implicações significativas. As equipes de segurança cibernética precisam estar atentas a dois aspectos principais: mitigação e resposta em tempo real.
Mitigação
- Especificar Caminhos Absolutos: Desenvolvedores devem usar caminhos absolutos para DLLs, evitando que o sistema busque versões maliciosas em diretórios diferentes.
- Verificação de Assinatura de DLL: Implementar uma verificação digital das DLLs antes de seu carregamento garante que sejam legítimas e não adulteradas.
- Whitelisting de DLL: Criar uma lista de DLLs permitidas e monitorar suas hashes ajuda a identificar e detectar malwares.
- Configuração de Manifestos: Garantir que manifestos WinSxS sejam específicos evita que adversários explorem configurações inadequadas.
Detecção e Resposta em Tempo Real
- Monitoramento de Conectividade de Rede: Analisar processos com conectividade anormal pode indicar comprometimento. Estabelecer um baseline de atividade normal ajuda na detecção de desvios.
- Detecção de Arquivos Suspeitos: Usar capacidades de reputação para alertar sobre arquivos suspeitos armazenados no disco ou em memória.
- Monitoramento de Comportamento de Processos: Implementar algoritmos que monitorem processos pode detectar quando um processo legítimo carrega DLLs maliciosas.
- Identificação de Executáveis Vulneráveis: Monitorar executáveis legítimos para identificar side-loading de DLLs de locais não confiáveis.
Considerações Específicas para o SYS01stealer
- Decoys e Arquivos Ocultos: O SYS01stealer utiliza arquivos decoy para enganar as vítimas. Equipes de segurança devem ficar atentas a estes métodos.
- Executáveis Legítimos Explorados: O malware pode abusar de executáveis legítimos, como o
WDSyncService.exe
. Monitorar o uso anormal é essencial.
Em resumo, a mitigação e resposta eficazes contra o DLL side-loading exigem boas práticas de desenvolvimento, monitoramento avançado e uma compreensão profunda das táticas usadas pelo SYS01stealer.
#SYS01stealer #Malvertising #Cibersegurança #Phishing #SegurançaDigital #Alegon