惡意廣告透過臉書轉傳，意圖散布竊資軟體SYS01stealer

駭客挾持臉書企業帳號濫用Meta廣告平臺散布竊資軟體的情況，不時有事故傳出，最近有研究人員提出警告，他們發現有人冒用使用者相當信賴的品牌，佯稱提供遊戲、破解軟體等內容，意圖散布惡意程式的新一波攻擊行動。

資安業者Bitdefender指出，他們看到駭客透過Meta的廣告平臺散布惡意廣告，自9月開始為期超過1個月，而且，每天都會上架新的廣告，這些廣告的最終目的，就是散布名為SYS01stealer的竊資軟體。

研究人員指出，這起攻擊行動的範圍橫跨全球，潛在的目標估計可能有數百萬人，歐盟、北美、澳洲、亞洲都出現相關攻擊，尤其是針對45歲以上的男性。

駭客聲稱提供影片編輯軟體CapCut、生產力工具Microsoft 365、影音串流服務Netflix，以及電玩遊戲等誘餌，來吸引目標使用者上當。駭客同時運用接近100個網域名稱散布惡意程式，並架設C2伺服器，這麼做的目的，是讓攻擊者能夠即時控管整個攻擊流程。

竊資軟體SYS01stealer最初由資安業者Morphisec於去年初揭露，當時駭客使用Google廣告及偽造的臉書個人資料來散布。如今攻擊者散布的管道有所不同，手法也出現變化。

在這波攻擊行動當中，對方運用Electron應用程式來散布惡意程式。研究人員指出，攻擊者的廣告內容，通常帶有指向雲端檔案共享服務（如MediaFire）的連結，一旦使用者點選，就會下載內含Electron應用程式的ZIP壓縮檔。

若是使用者執行應用程式，其中嵌入的JavaScript程式碼就會載入、並於後臺執行惡意軟體。由於駭客宣稱提供的應用程式似乎能正常運作，因此受害者難以察覺異狀。

值得留意的是，這些駭客採用多種迴避偵測策略，避免被網路安全系統識別為有害。首先，竊資軟體在執行每個主要元件之前，都會先進行沙箱環境的檢查；一旦資安業者察覺並將惡意程式的載入工具視為有害，攻擊者也會迅速更新惡意軟體及廣告，而能逃過相關偵測。