虚假 Meta 广告劫持 Facebook 帐户以传播 SYS01 信息窃取程序

一个恶意广告活动正在利用 Meta 平台传播 SYS01 信息窃取程序，通过流行软件的虚假广告锁定 45 岁以上的男性。该恶意软件会窃取 Facebook 凭据，劫持账户（尤其是管理企业页面的账户），并在全球范围内进一步传播攻击。

一个新的恶意广告活动正在利用 Meta 的广告平台传播 SYS01 信息窃取程序，Meta 和 Facebook 用户都知道这种网络安全威胁会窃取他们的个人信息。

这次攻击的目标是全球数百万用户，特别是 45 岁及以上的男性，他们都是这次持续攻击的潜在受害者，这次攻击巧妙地将自己伪装成流行软件、游戏和在线服务的广告。

这一活动于 2024 年 9 月首次被发现，其突出之处在于它的假冒策略和所利用的流行品牌。攻击者没有将重点放在单一诱饵上，而是模仿了大量可信品牌，包括 Office 365 等生产力工具、Canva 和 Adobe Photoshop 等创意软件、ExpressVPN 等 VPN 服务、Netflix 等流媒体平台、Telegram 等消息应用程序，甚至还有《超级马里奥兄弟奇迹》等热门视频游戏。

攻击如何运作：

根据 Bitdefender 在周三发布之前与 Hackread.com 分享的博文，恶意广告通常会指向 MediaFire 链接，提供看似合法软件的直接下载。这些以压缩包形式打包的下载包含一个恶意 Electron 应用程序。

一旦执行，该应用程序就会下载并运行 SYS01 信息窃取程序，同时显示一个模仿广告软件的诱饵应用程序。这种欺骗手段让受害者很难意识到自己已经被入侵。

如需了解更多信息，Electron 应用程序是一种使用 HTML、CSS 和 JavaScript 等网络技术构建的桌面应用程序。Electron 是由 GitHub 开发的一个开源框架，允许开发人员创建跨平台应用程序，这些应用程序可以在 Windows、macOS 和 Linux 上运行，所有这些都可以从一个代码库中完成。

然而，在这次攻击中，Electron 应用程序在幕后使用混淆的 Javascript 代码和独立的 7zip 可执行文件来提取受密码保护的压缩包，其中包含核心恶意软件组件。该档案包括负责安装信息窃取程序并在受害者系统上建立持久性的 PHP 脚本。该恶意软件还加入了反沙箱检查，以逃避安全研究人员的检测。

窃取数据和劫持账户：

SYS01 信息窃取程序的主要目标是窃取 Facebook 凭据，尤其是与企业账户相关的凭据。这些被入侵的账户会被用于进一步的攻击/诈骗。

更糟糕的是，这种攻击还利用了被劫持账户的广告功能，允许攻击者创建新的恶意广告，这些广告看起来更合法，并能轻松绕过安全过滤器。这就形成了一个自我维持的循环，被盗账户被用来进一步传播恶意软件。被盗的证书还可能在地下市场上出售，进一步为犯罪分子敛财。

假冒的 Netflix、超级马里奥兄弟奇迹和其他恶意广告目前正在该活动中使用（通过 Bitdefender）

全球影响和保护

虽然该活动覆盖全球，影响了欧盟、北美、澳大利亚和亚洲的用户，但 Bitdefender 无法证实其影响的全面程度，尤其是在欧盟以外地区，由于数据透明度有限，这一点仍不清楚。

尽管如此，如果您在 Facebook 上，特别是如果您经营着一个商业网页，就必须警惕 SYS01 Infostealer 和类似的威胁。虽然利用常识是必不可少的，但以下是你应该采取的一些重要步骤：

1. 监控你的账户： 定期检查 Facebook 和其他社交媒体账户是否有可疑活动。如果发现任何未经授权的访问，请立即报告并更改密码。
2. 警惕广告： 谨慎点击广告，尤其是那些提供免费下载或优惠的广告。在下载任何软件之前，请核实其来源。
3. 坚持使用官方来源： 直接从官方网站或可信的应用程序商店下载软件。避免使用第三方平台和文件共享服务。
4. 使用强大的安全软件：安装信誉良好的安全软件并保持更新。选择可提供实时保护和高级威胁检测的解决方案。
5. 启用双因素身份验证 (2FA)： 在 Facebook 和其他重要在线账户上激活 2FA，以提高安全性。