Les cybercriminels utilisent les pages commerciales et les publicités Facebook pour promouvoir de faux thèmes Windows qui infectent les utilisateurs sans méfiance avec le logiciel malveillant de vol de mot de passe SYS01.

Les chercheurs de Trustwave qui ont observé les campagnes ont déclaré que les acteurs de la menace encourageaient également les faux téléchargements de jeux et logiciels piratés, Sora AI, le créateur d'images 3D et One Click Active.

Bien que l’utilisation de publicités Facebook pour diffuser des programmes malveillants visant à voler des informations ne soit pas une nouveauté, la portée massive de la plateforme de médias sociaux fait de ces campagnes une menace importante.

Publicité sur Facebook

Les acteurs malveillants diffusent des publicités faisant la promotion de thèmes Windows, de téléchargements de jeux gratuits et de cracks d'activation de logiciels pour des applications populaires, telles que Photoshop, Microsoft Office et Windows.

Ces publicités sont diffusées via des pages Facebook professionnelles nouvellement créées ou en détournant des pages existantes. Lorsqu'ils utilisent des pages Facebook détournées, les acteurs malveillants les renomment pour qu'elles correspondent au thème de leur publicité et pour promouvoir les téléchargements auprès des membres existants de la page.

« Les acteurs malveillants usurpent l'identité de l'entreprise en renommant les pages Facebook, ce qui leur permet de tirer parti de la base d'abonnés existante pour amplifier considérablement la portée de leur publicité frauduleuse », peut-on lire dans le rapport Trustwave.

« Il convient de souligner que chacune de ces pages a été administrée par des personnes situées au Vietnam ou aux Philippines à différents moments dans le temps. »

Trustwave affirme que les acteurs malveillants diffusent des milliers de publicités pour chaque campagne, les principales étant blue-softs (8 100 publicités), xtaskbar-themes (4 300 publicités), newtaskbar-themes (2 200 publicités) et awesome-themes-desktop (1 100 publicités).

Lorsqu'un utilisateur de Facebook clique sur la publicité, il est redirigé vers des pages Web hébergées sur Google Sites ou True Hosting qui prétendent être des pages de téléchargement pour le contenu promu de la publicité.

Les pages True Hosting sont principalement utilisées pour promouvoir un site Web appelé Blue-Software, qui propose des téléchargements de logiciels et de jeux prétendument gratuits.

En cliquant sur les boutons « Télécharger », le navigateur télécharge une archive ZIP portant le nom de l'élément en question. Par exemple, le téléchargement des faux thèmes Windows fournirait une archive nommée « Awesome_Themes_for_Win_10_11.zip », et Photoshop serait « Adobe_Photoshop_2023.zip ».

Même si les téléchargeurs pensent qu’ils obtiennent désormais une application, un jeu ou un thème Windows gratuit, l’archive contient en réalité le logiciel malveillant voleur d’informations SYS01.

Ce malware a été le premier découvert par Morphisec en 2022 et utilise une collection d'exécutables, de DLL, de scripts PowerShell et de scripts PHP pour voler, installer le logiciel malveillant et voler les données d'un ordinateur infecté.

Lorsque l'exécutable principal de l'archive est chargé, il utilise le chargement latéral DLL pour charger une DLL malveillante qui commence à configurer l'environnement d'exploitation du logiciel malveillant.

Cela inclut l’exécution de scripts PowerShell pour empêcher le logiciel malveillant de s’exécuter dans un environnement virtualisé afin d’échapper à la détection, l’ajout d’exclusions de dossiers dans Windows Defender et la configuration d’un environnement d’exploitation PHP pour charger des scripts PHP malveillants.

La charge utile principale du malware de vol d'informations SYS01 se compose de scripts PHP qui créent des tâches planifiées pour la persistance et volent des données de l'appareil.

Les données volées comprennent les cookies du navigateur, les informations d'identification enregistrées dans le navigateur, l'historique du navigateur et les portefeuilles de crypto-monnaie.

Le logiciel malveillant comprend également une tâche qui utilise les cookies Facebook trouvés sur l'appareil pour voler les informations de compte du site de médias sociaux :

• Extrait les informations de profil personnel telles que le nom, l'e-mail et la date de naissance.
• Récupère des données détaillées sur les comptes publicitaires, y compris les dépenses et les méthodes de paiement.
• Données incluant les entreprises, les comptes publicitaires et les utilisateurs professionnels, soulignant la profondeur de l'accès aux données commerciales et financières sensibles.
• Détails concernant les pages Facebook gérées par l'utilisateur, y compris le nombre d'abonnés et les rôles.

Les données volées sont temporairement stockées dans le dossier %Temp% avant d’être envoyées aux attaquants.

Les cookies et mots de passe volés peuvent ensuite être vendus à d'autres acteurs malveillants ou utilisés pour pirater d'autres comptes appartenant à la victime, tandis que les données Facebook sont probablement utilisées pour détourner d'autres comptes pour de futures campagnes de malvertising.

Trustwave affirme que ce malvertising ne se limite pas à Facebook, mais que des profils similaires sont créés sur LinkedIn et YouTube.

« La campagne de malvertisement SYS01 en cours constitue une menace pour un public plus large et montre l'importance d'être conscient de ce que font les utilisateurs sur les réseaux sociaux », a conclu Trustwave.

« Depuis sa première observation en 2022, le malware SYS01 a modifié sa méthode de diffusion en s'éloignant des clickbaits à thème adulte et des publicités liées aux jeux pour adopter une approche qui cible le grand public comme les thèmes Windows et les publicités d'outils logiciels basés sur l'IA. »

Trustwave a signalé en février une campagne de malvertising similaire sur Facebook diffusant le malware de vol de mot de passe Ov3r_Stealer.

Plus récemment, Bitdefender a alerté sur le fait que des acteurs malveillants détournaient des pages Facebook comptant des millions d’utilisateurs pour se faire passer pour des projets d’IA populaires. Ces pages étaient ensuite utilisées pour diffuser des malwares de vol d’informations, comme Rilide, Vidar, IceRAT et Nova.