The Hacker Newsは10月30日(米国時間)、「Malvertising Campaign Hijacks Facebook Accounts to Spread SYS01stealer Malware」において、Metaの広告プラットフォームを悪用してFacebookアカウントを乗っ取り、情報窃取マルウェア「SYS01stealer」を拡散させるマルバタイジングキャンペーンが展開されていると報じた。このキャンペーンで100にもおよぶ悪意あるドメインが使用されていると警告している。

  • Malvertising Campaign Hijacks Facebook Accounts to Spread SYS01stealer Malware

    Malvertising Campaign Hijacks Facebook Accounts to Spread SYS01stealer Malware

情報窃取マルウェアを配布

SYS01stealerはログイン認証、閲覧履歴、Cookieなどの情報窃取を目的にしているマルウェア。Facebookのアカウント情報も窃取対象としており、乗っ取られたFacebookアカウントを悪用して偽の広告を拡散、マルバタイジングキャンペーンを拡大させていることがわかった。

このマルウェアは主にFacebook、YouTube、LinkedInなどのプラットフォームで配信される広告経由で拡散されている。広告としてはゲームやAIソフトウェア、フォトエディター、VPN、映画ストリーミングサービスなどが悪用されており、広告をクリックしたユーザーはGoogle SitesまたはTrue Hostingでホストされている偽のサイトにリダイレクトされる。

偽のサイトから正当なアプリケーションに見せかけたZIPファイルをダウンロードすると、SYS01stealerに感染する。ZIPファイルには無害に見える実行ファイルとともに悪意のあるDLLが含まれており、このDLLをサイドローディングすることによってマルウェアの初期ペイロードがWindows上で起動されるという多段階プロセスとなっている。

SYS01stealerにはサンドボックス環境でマルウェアが実行されないようPowerShellコマンドでの実行、検出を回避するために特定のパスを除外するMicrosoft Defender Antivirusの設定変更、情報窃取を実行するための動作環境の設定を行う機能などが組み込まれているという。

マルバタイジングキャンペーンへの対抗策

マルバタイジングキャンペーンは日常的に利用されるSNSや広告プラットフォームに潜んでおり、ユーザーを狙っている。マルバタイジング攻撃の被害に遭わないよう、疑わしい広告やリンクをクリックしないことが望まれる。

また、不審な広告やトラフィックを検出するフィルタリングシステムの導入やセキュリティソフトを最新にアップデートするなど、マルバタイジング攻撃を軽減することが推奨される。