
Les cybercriminels utilisent les pages professionnelles et les publicités Facebook pour promouvoir de faux thèmes Windows qui infectent les utilisateurs sans méfiance avec le malware SYS01 qui vole des mots de passe.
Les chercheurs de Trustwave qui ont observé les campagnes ont déclaré que les acteurs de la menace faisaient également la promotion de faux téléchargements de jeux et de logiciels piratés, Sora AI, 3D image creator et One Click Active.
Bien que l’utilisation de publicités Facebook pour diffuser des logiciels malveillants voleurs d’informations ne soit pas nouvelle, la portée massive de la plate-forme de médias sociaux fait de ces campagnes une menace importante.
Publicité sur Facebook
Les acteurs de la menace diffusent des publicités qui font la promotion de thèmes Windows, de téléchargements de jeux gratuits et de fissures d’activation de logiciels pour des applications populaires, telles que Photoshop, Microsoft Office et Windows.

Ces publicités sont promues via des pages professionnelles Facebook nouvellement créées ou en détournant celles existantes. Lorsqu’ils utilisent des pages Facebook détournées, les auteurs de menaces les renomment en fonction du thème de leur publicité et pour promouvoir les téléchargements auprès des membres existants de la page.
« Les acteurs de la menace assument l’identité de l’entreprise en renommant les pages Facebook, ce qui leur permet de tirer parti de la base d’abonnés existante pour amplifier considérablement la portée de leur publicité frauduleuse », lit-on dans le rapport Trustwave.
« Il convient de souligner que chacune de ces pages a été administrée par des personnes situées au Vietnam ou aux Philippines à différents moments. »
Trustwave indique que les acteurs de la menace diffusent des milliers d’annonces pour chaque campagne, les principales campagnes étant nommées blue-softs (8 100 annonces), xtaskbar-themes (4 300 annonces), newtaskbar-themes (2 200 annonces) et awesome-themes-desktop (1 100 annonces).
Lorsqu’un utilisateur de Facebook clique sur l’annonce, il est redirigé vers des pages Web hébergées sur des sites Google ou un véritable hébergement qui prétendent être des pages de téléchargement pour le contenu promu de l’annonce.
Les vraies pages d’hébergement sont principalement utilisées pour promouvoir un site Web appelé Blue-Software, qui propose des logiciels prétendument gratuits et des téléchargements de jeux.

En cliquant sur les boutons « Télécharger », le navigateur téléchargera une archive ZIP nommée d’après l’élément particulier. Par exemple, le téléchargement des faux thèmes Windows fournirait une archive nommée ‘ Awesome_Themes_for_Win_10_11.zip’, et Photoshop serait ‘ Adobe_Photoshop_2023.zip.’
Alors que les téléchargeurs peuvent penser qu’ils obtiennent maintenant une application, un jeu ou un thème Windows gratuit, l’archive contient en fait le malware de vol d’informations SYS01.
Ce malware a été découvert pour la première fois par Morphisec en 2022 et utilise une collection d’exécutables, de DLL, de scripts PowerShell et de scripts PHP pour voler l’installation du malware et voler des données sur un ordinateur infecté.
Lorsque l’exécutable principal de l’archive est chargé, il utilise le chargement latéral de DLL pour charger une DLL malveillante qui commence à configurer l’environnement d’exploitation du logiciel malveillant.
Cela inclut l’exécution de scripts PowerShell pour empêcher le logiciel malveillant de s’exécuter dans un environnement virtualisé pour échapper à la détection, l’ajout d’exclusions de dossiers dans Windows Defender et la configuration d’un environnement d’exploitation PHP pour charger des scripts PHP malveillants.
La charge utile principale du malware de vol d’informations SYS01 se compose de scripts PHP qui créent des tâches planifiées pour la persistance et volent des données de l’appareil.
Les données volées incluent les cookies du navigateur, les informations d’identification enregistrées dans le navigateur, l’historique du navigateur et les portefeuilles de crypto-monnaie.

Le logiciel malveillant comprend également une tâche qui utilise les cookies Facebook trouvés sur l’appareil pour voler des informations de compte sur le site de médias sociaux:
- Extrait les informations de profil personnel telles que le nom, l’adresse e-mail et la date de naissance.
- Récupère les données détaillées du compte publicitaire, y compris les dépenses et les méthodes de paiement.
- Données incluant les entreprises, les comptes publicitaires et les utilisateurs professionnels, soulignant la profondeur de l’accès aux données financières commerciales et sensibles.
- Détails concernant les pages Facebook gérées par l’utilisateur, y compris le nombre d’abonnés et les rôles.
Les données volées sont temporairement stockées dans le dossier %Temp% avant d’être envoyées aux attaquants.

Les cookies et mots de passe volés peuvent ensuite être vendus à d’autres acteurs de la menace ou utilisés pour pirater d’autres comptes appartenant à la victime, tandis que les données Facebook sont probablement utilisées pour détourner d’autres comptes pour de futures campagnes de publicité malveillante.
Trustwave affirme que cette publicité malveillante ne se limite pas à Facebook, car des profils similaires sont créés sur LinkedIn et YouTube.
« La campagne de publicité malveillante SYS01 en cours constitue une menace pour un public plus large et montre l’importance d’être conscient de ce que font les utilisateurs sur les réseaux sociaux », a conclu Trustwave.
« Depuis qu’il a été observé pour la première fois en 2022, le malware SYS01 a modifié sa méthode de diffusion en s’éloignant des appâts cliquables sur le thème des adultes et des publicités liées aux jeux pour une approche qui cible le grand public, comme les thèmes Windows et les publicités d’outils logiciels basées sur l’IA. »
Trustwave a signalé en février une campagne similaire de publicité malveillante sur Facebook poussant le logiciel malveillant de vol de mot de passe Ov3r_Stealer.
Plus récemment, Bitdefender a averti que des acteurs de la menace détournaient des pages Facebook avec des millions d’utilisateurs pour se faire passer pour des projets d’IA populaires. Ces pages ont ensuite été utilisées pour pousser des logiciels malveillants voleurs d’informations, tels que Rilide, Vidar, IceRAT et Nova.