El malware SYS01 InfoStealer ataca páginas de metanegocios y roba inicios de sesión

El malware Infostealer es un tipo de software malicioso diseñado para infiltrarse en los sistemas informáticos y extraer información confidencial. Una vez que se recopilan los datos, se envían a servidores remotos controlados por actores de amenazas y, a menudo, se revenden en los “mercados de la web oscura”.

Los investigadores de ciberseguridad de Bitdefender descubrieron recientemente que el malware de robo de información SYS01 está atacando activamente páginas de metanegocios para robar inicios de sesión.

SYS01 El malware InfoStealer ataca a Mera Business

Se descubrió que los actores de amenazas estaban orquestando sofisticadas campañas de publicidad maliciosa a través de la plataforma publicitaria de Meta para hacerse pasar por marcas confiables y distribuir el malware InfoStealer 'SYS01'.

Cree un SOC interno o subcontrate SOC como servicio -> Calcule el costo

La campaña, lanzada en septiembre, explota algoritmos de publicidad en las redes sociales para crear anuncios engañosos que se hacen pasar por “descargas legítimas de software” de empresas conocidas y títulos de juegos populares, entre ellos:

Adobe Photoshop Canva CapCut Express VPN Netflix Super Mario Bros. Wonder Black Myth: Títulos de juegos populares de Wukong (Fuente: Bitdefender)

El malware está diseñado para robar credenciales y datos personales y se distribuye a través de una red de miles de “anuncios maliciosos” que potencialmente pueden llegar a millones de usuarios. Aquí nos dirigimos principalmente a los “hombres mayores”.

La infraestructura de ataque utiliza múltiples dominios maliciosos que actúan como “plataformas de descarga falsas” mediante el uso de varios mecanismos de distribución que evolucionan con el tiempo para evadir la detección.

La sofisticación de esta campaña sugiere una manipulación persistente a través de “cuentas secuestradas”, “técnicas comunes de suplantación de identidad” y un “despliegue estratégico de publicidad” que puede permanecer activa durante varias semanas.

Esto hace que al usuario medio le resulte aún más difícil distinguir entre “productos de software legítimos” y “contenido malicioso”.

Esto representa una evolución preocupante en las amenazas cibernéticas, donde las plataformas publicitarias tradicionales se están utilizando como armas para facilitar la “distribución masiva de malware”.

El malware, distribuido a través de anuncios engañosos, redirige a los usuarios a una descarga 'MediaFire' que contiene una aplicación maliciosa 'basada en electrones'.

Estas aplicaciones contienen un “. ” empaquetado en el archivo.

La cadena de infección de malware consiste en código JavaScript que utiliza herramientas como 7zip para descomprimir y ejecutar componentes adicionales, al tiempo que compara el modelo de GPU con una lista predefinida para implementar medidas “anti-sandboxing”.

Cuando se ejecuta, el malware implementa “scripts PHP” (“index.php” e “include.php”) codificados con “IonCube Loader”. Esto ayuda a establecer la persistencia a través del Programador de tareas de Windows, que incluye dos tareas importantes:

WDNA (se ejecuta cada 2 minutos a través de rhc.exe php.exeindex.php) WDNA_LG (se activa cuando el usuario inicia sesión)

Infostealer utiliza 'llamadas HTTP' ('https://{C2_DOMAIN}/api/rss?a=ping') para comunicarse con los servidores C2 y utiliza 'bots de Telegram' para la recuperación dinámica del dominio C2. Utilice “Páginas de Google”.

Su objetivo principal es recopilar datos del navegador extrayendo datos confidenciales mediante comandos SQL como “SELECT * FROM moz_cookies”.

Aplicaciones atractivas que imitan el software anunciado (Fuente: Bitdefender)

El malware es una aplicación señuelo persuasiva que construye un elaborado ecosistema autosostenible donde las cuentas comerciales de Facebook comprometidas se venden en mercados de la web oscura o se reutilizan para difundir más anuncios maliciosos y se mantienen sigilosos ejecutándose en paralelo.

Recomendaciones

Todas las recomendaciones se enumeran a continuación: –

Revise sus anuncios Utilice únicamente fuentes oficiales Utilice software de seguridad sólido Mantenga sus sistemas actualizados Habilite la autenticación de dos factores Supervise su cuenta comercial de Facebook

COI

Dominio de alojamiento de malware:

hxxps://krouki.com hxxps://kimiclass.com hxxps://goodsuccessmedia.com hxxps://wegoodmedia.com hxxps://socialworldmedia.com hxxps://superpackmedia.com hxxps://wegoodmedia.com hxxps ://eviralmedia.com hxxps://gerymedia.com hxxps://wakomedia.com

Dominio C2:

hxxps://musament.top hxxps://enorgutic.top hxxps://untratem.top hxxps://matcrogir.top hxxps://ubrosive.top hxxps://wrust.top hxxps://lucielarouche.com hxxps #ostimatu.arriba

Realice análisis privados de malware en tiempo real en máquinas virtuales Windows y Linux. ¡Obtén una prueba gratuita de 14 días en ANY.RUN!