Wewnątrz wieloetapowej kampanii złośliwego oprogramowania wykorzystującej marki kryptowalut

Uporczywa kampania malvertisingowa stanowi zagrożenie dla użytkowników Facebooka, wykorzystując reputację znanych giełd kryptowalut, aby zwabić ofiary w labirynt złośliwego oprogramowania. Od czasu, gdy Bitdefender Labs rozpoczęło dochodzenie, to rozwijające się zagrożenie stanowi poważne ryzyko poprzez wdrażanie sprytnie zamaskowanych skryptów front-end i niestandardowych ładunków na urządzeniach użytkowników, wszystko pod przykrywką legalnych platform kryptowalutowych i osób wpływających na innych.

Raport ujawnia, w jaki sposób atakujący stosują zaawansowane taktyki unikania, masowe podszywanie się pod markę i wyrafinowane metody śledzenia użytkowników, aby ominąć konwencjonalne środki obrony i utrzymać dużą liczbę ofiar.

Kluczowe ustalenia

Trwający atak

Ta kampania malvertisingowa działa od kilku miesięcy, stale produkując nowe reklamy. W dużym stopniu wykorzystuje wizerunek i zaufanie związane z markami kryptowalutowymi i pozostaje aktywna, a nowe reklamy pojawiają się regularnie.

Współpraca Front-End–Back-End

Malware jest dostarczane za pośrednictwem ukrytej komunikacji między front-endem złośliwej witryny a lokalnym hostem, metodą, która unika wykrycia przez większość dostawców zabezpieczeń. Poprzez organizowanie wdrażania malware za pośrednictwem pozornie nieszkodliwego pośrednika, atakujący pozostają niewidoczni.

Masowe podszywanie się pod markę

Badacze Bitdefender Labs zidentyfikowali setki reklam podszywających się pod zaufane giełdy kryptowalut i platformy handlowe, w tym Binance i TradingView. Naśladując znane marki, atakujący drastycznie zwiększają prawdopodobieństwo, że ofiary klikną złośliwe reklamy.

Zaawansowane śledzenie i unikanie

Cyberprzestępcy stosują zaawansowane kontrole antysandbox, dostarczając złośliwe oprogramowanie tylko użytkownikom, którzy spełniają określone profile demograficzne lub behawioralne. Parametry zapytania związane z reklamami na Facebooku są używane do wykrywania prawowitych ofiar, podczas gdy podejrzane lub zautomatyzowane środowiska analizy otrzymują nieszkodliwą treść.

Kampania i dostarczanie złośliwego oprogramowania

Cyberprzestępcy wykorzystują sieć reklamową Meta, aby zachwalać szybkie zyski finansowe i bonusy kryptowalutowe. Niektóre reklamy mają na celu zwiększenie wiarygodności poprzez prezentowanie wizerunku osób publicznych, takich jak Elon Musk, Zendaya i Cristiano Ronaldo (z którym Binance nawiązało współpracę w celu udostępnienia kolekcji NFT).

Kliknięcie jednej z tych reklam przekierowuje ofiary do witryny podszywającej się pod znaną platformę kryptowalutową (Binance, Tradingview, ByBit, SolFlare, MetaMask, Gate.io, MEXC itp.) i instruującej je, aby pobrały „klienta komputerowego”.

Jeśli jednak witryna wykryje podejrzane warunki (np. brakujące parametry śledzenia reklam lub środowisko typowe dla automatycznej analizy bezpieczeństwa), zamiast tego wyświetli nieszkodliwą, niezwiązaną z problemem treść.

Oto, co badacz Bitdefender Labs Ionut Baltariu zauważył na temat technik śledzenia i filtrowania stosowanych przez cyberprzestępców w tej kampanii:

• Użytkownicy nie mogą załadować głównej witryny internetowej
  Żadna złośliwa treść nie zostanie wyświetlona użytkownikom, którzy załadowali witrynę bez określonych parametrów zapytania reklam na Facebooku – przykładami są utm_campaign, utm_content, fbid, cid.
• Jeśli użytkownik nie jest zalogowany na Facebooku lub jeśli adres IP i system operacyjny nie interesują atakujących, witryna nie wyświetli złośliwej zawartości. Zamiast tego użytkownicy otrzymają niezwiązaną zawartość. To samo może się zdarzyć, jeśli ofiara nie pasuje do profilu behawioralnego poszukiwanego przez atakujących (np. mężczyzna, zainteresowanie technologią i kryptowalutą).

Nowsze wersje idą o krok dalej, nakłaniając użytkowników do otwierania witryny w przeglądarce Microsoft Edge. Otwieranie jej w innych przeglądarkach skutkuje wyświetlaniem losowej, niezłośliwej zawartości, co jeszcze bardziej komplikuje wykrywanie zagrożeń.

Jednym z szczególnie zwodniczych przypadków jest klon Facebooka imitujący oficjalną stronęTradingView na Facebooku. Od zdjęć profilowych po posty i komentarze zachwalające darmową „Roczną Subskrypcję Ultimate”, wszystko jest sfabrykowane, z wyjątkiem centralnych przycisków, które przekierowują ofiary do prawdziwej strony Facebooka.

Skala kampanii

Badacze odkryli setki kont na Facebooku promujących te strony dostarczające złośliwe oprogramowanie, wszystkie oferujące korzyści finansowe. W jednym godnym uwagi przykładzie jedna strona wyświetliła ponad 100 reklam w ciągu jednego dnia (9 kwietnia 2025 r.). Podczas gdy wiele reklam jest szybko usuwanych, niektóre z nich gromadzą tysiące wyświetleń przed usunięciem. Targetowanie jest często dostrajane, na przykład skupiając się na mężczyznach w wieku 18+ w Bułgarii i na Słowacji — w celu zmaksymalizowania wpływu.

W tym przykładzie widzimy reklamę skierowaną specjalnie do mężczyzn w wieku powyżej 18 lat, która odniosła sukces w Bułgarii i na Słowacji.

Jak działa złośliwe oprogramowanie?

Wszystkie analizowane próbki malware miały nazwę `installer.msi` i mierzyły około 800 kb. Po instalacji złośliwe oprogramowanie otwierało stronę podszywającego się podmiotu za pośrednictwem „msedge_proxy.exe”. Ofiary otrzymywały również podejrzany plik DLL, który uruchamiał lokalny serwer oparty na .NET na portach 30308 lub 30303 (w nowszej wersji).

Ten serwer oferuje dwie funkcje umożliwiające zdalne wykonywanie ładunków i niestandardową eksfiltrację danych za pomocą zapytań WMI:

• „/set” (lub „/s” w nowszych wersjach)
• „/query” (lub „/q” w nowszych wersjach)

Track „/set” odbiera ładunek w formacie XML za pośrednictwem treści żądania, który można wykonać za pomocą Harmonogramu zadań, podczas gdy track „/query” umożliwia wykonywanie niestandardowych zapytań WMI, ujawniając identyfikator komputera i odpowiedzi na zapytania WMI.

Co ciekawe, próbka nie wydaje się uruchamiać innych procesów, które mogłyby używać tego prostego API. W końcu, gdyby było to pożądane, dane mogłyby już zostać pozyskane. To tutaj wchodzi w grę interesujący skrypt z Front-Endu (złośliwej strony).

Podczas dokładnej analizy żądań wysyłanych przez witrynę po jej załadowaniu, można nie zauważyć niczego, co wzbudziłoby podejrzenia. Jednak podczas badania załadowanych zasobów można znaleźć złośliwy skrypt:

Po odszyfrowaniu skrypt ten tworzy SharedWorker, który rozwiązuje zagadkę samotnego serwera „localhost:30308”.

Wewnątrz współdzielonego procesu roboczego możemy zobaczyć trasę „/query” z trzema zapytaniami WMI:

Ponadto skrypt blokuje również dane wyjściowe typowych poleceń konsoli:

Współdzielony pracownik komunikuje się ze skryptem nadrzędnym (używając funkcji „postMessage”), aby w pełni zorganizować wdrożenie złośliwego oprogramowania za pomocą serwera „localhost”. Ponadto używa innego interfejsu API, z którego zbiera początkowy plik złośliwego oprogramowania i przyszłe ładunki, gwarantując niestandardowe i potencjalnie stale ewoluujące ładunki.

Po otrzymaniu wyników zapytania WMI skrypt FrontEnd może wybrać również użycie track „/set” w celu zaplanowania wykonania zadania. W analizowanym przykładzie przypadku polecenie /set zostało użyte do dalszego wykonania wielu zakodowanych skryptów PowerShell. Ten łańcuch zakodowanych poleceń zakończył się skryptem, który pobrał kolejny złośliwy ładunek z dwóch możliwych serwerów C&C, o następującej strukturze:

Przez nieokreślony czas skrypt PowerShell pobiera inne skrypty z serwerów C2 ($APIs) i wykonuje je, uśpione na ograniczony czas między żądaniami. Przykładem wykonanych skryptów jest wykradanie dalszych danych z zainfekowanego systemu, takich jak zainstalowane oprogramowanie, dostępne GPU, lokalizacja geograficzna z „HKEY_CURRENT_USER\Control Panel\International\Geo” oraz informacje o systemie, systemie operacyjnym i BIOS-ie (podwajając wysiłek włożony w 1. etapie, wykonany przy użyciu zapytań WMI ze skryptu Front-End).

W zależności od wyekstrahowanego ładunku (C2 może wdrażać niestandardowe ładunki w zależności od typu ofiary, z możliwymi wnioskami dotyczącymi prób dynamicznej analizy), złośliwe interfejsy API mogą zwracać inne złośliwe skrypty. Jednym z napotkanych przez nas przykładów jest program PowerShell, który dodatkowo pobiera kompilację „Node.js”, serię plików wykonywalnych i plik „.jsc”. Jeśli wyekstrahowane dane przypominają zautomatyzowany przepływ lub środowisko sandboxingu, zaobserwowaliśmy „złośliwe” ładunki, które wykonują polecenie uśpienia tylko przez setki godzin, co wskazuje, że łańcuch infekcji prawdopodobnie zakończy się na tym etapie.

Nowa kampania malware – kluczowe wnioski

Ta kampania prezentuje hybrydowe podejście, łączące oszustwo front-end i usługę malware opartą na lokalnym hoście. Poprzez dynamiczne dostosowywanie się do środowiska ofiary i ciągłą aktualizację ładunków, sprawcy zagrożeń utrzymują odporną, wysoce unikalną operację. Podczas analizy Bitdefender był jednym z niewielu rozwiązań bezpieczeństwa wykrywających zarówno złośliwą bibliotekę DLL, jak i skrypty front-end z generycznymi sygnaturami.

Wiele warstw zaciemniania, sprawdzania sandboxów i ewolucji ładunku w czasie rzeczywistym sprawiają, że ta kampania jest wyrafinowanym wyzwaniem dla badaczy i dostawców zabezpieczeń. Podczas analizy napotkaliśmy i odkryliśmy wiele technik, które uniemożliwiają kompleksową analizę zagrożenia – od środków podejmowanych na złośliwych stronach internetowych (wyświetlanie niezłośliwej zawartości na podstawie metadanych ruchu) po działania antysandboxowe (na przykład zapętlone zadanie PowerShell nie pobierałoby ostatecznego ładunku w dynamicznych środowiskach analizy).

W połączeniu z potencjałem inżynierii społecznej reklam na Facebooku i szumem wokół kryptowalut, pokazuje to, jak „zwykłe” zagrożenia mogą osiągnąć nowy poziom złożoności.

Wykrycia Bitdefender

• „Generic.MSIL.WMITask” – złośliwe biblioteki DLL
• „Generic.JS.WMITask” – złośliwe pliki JavaScript na stronach internetowych
• „Trojan.Agent.GOSL” – złośliwy JavaScript w ładunku końcowym

Wczesna aktywacja tych sygnatur zablokowała tysiące prób infekcji na całym świecie, chroniąc klientów Bitdefender przed padnięciem ofiarą tej kampanii.

Aktualna, kompletna lista wskaźników zagrożenia jest dostępna dla użytkowników Bitdefender Advanced Threat Intelligence tutaj.

Jak użytkownicy mogą zachować bezpieczeństwo?

• Zbadaj reklamy. Zachowaj ostrożność w przypadku reklam oferujących darmowe oprogramowanie lub niewiarygodne zyski finansowe. Zawsze weryfikuj źródło przed kliknięciem linków lub pobraniem treści.
• Używaj tylko oficjalnych źródeł. Pobierz oprogramowanie bezpośrednio ze strony internetowej dostawcy. Przykłady z tej kampanii obejmują oficjalne strony TradingView, Binance i MetaMask.
• Użyj dedykowanych narzędzi do wykrywania oszustw i sprawdzania linków. Bitdefender Scamio i Bitdefender Link Checker mogą pomóc Ci zweryfikować wiarygodność witryny przed kliknięciem lub udostępnieniem. Te narzędzia zapewniają dodatkową warstwę obrony poprzez skanowanie adresów URL i ostrzeganie o potencjalnych oszustwach lub złośliwej zawartości.
• Aktualizuj oprogramowanie antywirusowe, Wybierz renomowane rozwiązanie antywirusowe, które jest w stanie wykrywać rozwijające się zagrożenia, takie jak Bitdefender GravityZone. Regularne aktualizacje zapewniają najnowsze mechanizmy ochrony.
• Uważaj na ograniczenia przeglądarki, Jeśli strona wymaga użycia konkretnej przeglądarki lub wygląda podejrzanie, a jednocześnie nie działa, należy ją natychmiast zamknąć.
• Zgłaszaj podejrzane reklamy. Oznacz podejrzane reklamy na Facebooku, aby pomóc w zapobieganiu tej i przyszłym kampaniom złośliwych reklam.