Pesquisadores de segurança cibernética descobriram uma campanha de malvertising em andamento que utiliza a plataforma de anúncios da Meta e contas hackeadas do Facebook para distribuir o malware SYS01stealer. O malware visa roubar credenciais de login, histórico de navegação, cookies e, principalmente, informações de contas de negócios e anúncios do Facebook.

A Bitdefender Labs divulgou em um relatório que os hackers por trás da campanha usam marcas conhecidas para aumentar seu alcance. A campanha emprega quase cem domínios maliciosos, que são utilizados tanto para distribuir o malware quanto para realizar operações de comando e controle (C2) em tempo real, permitindo que os atacantes gerenciem o ataque conforme ele acontece.

O SYS01stealer foi documentado pela primeira vez pela Morphisec no início de 2023, quando atacava contas de negócios do Facebook por meio de anúncios do Google e perfis falsos no Facebook, promovendo jogos, conteúdo adulto e software pirateado. Semelhante a outros malwares do tipo stealer, seu objetivo é roubar dados de login e cookies, mas ele também se concentra em acessar informações de contas de negócios e anúncios do Facebook, que são então usadas para disseminar o malware por meio de anúncios fraudulentos.

A campanha utiliza as contas do Facebook comprometidas para amplificar suas operações, reaproveitando essas contas para promover anúncios maliciosos, sem que os hackers precisem criar novos perfis no Facebook. O malware é distribuído principalmente através de malvertising em plataformas como Facebook, YouTube e LinkedIn, com anúncios que promovem temas para Windows, jogos, softwares de IA, editores de fotos, VPNs e serviços de streaming de filmes.