I ricercatori di Bitdefender hanno scoperto una nuova campagna malware che prende di mira Facebook e YouTube. Ignoti cybercriminali sfruttano i due servizi per convincere gli utenti a scaricare contenuti per adulti che nascondono S1deload, un’info-stealer che può prendere il controllo degli account e installare un crypto miner.
S1deload: nuovo malware social
La catena di infezione inizia con una serie di link inseriti nelle descrizioni dei video su YouTube e nei commenti delle pagine di Facebook. I link puntano ad archivi con nomi piuttosto eloquenti, come AlbumGirlSexy.zip
, HDSexyGirl.zip
e SexyGirlAlbum.zip
.
All’interno degli archivi ci sono vari file, tra cui un certificato digitale di Western Digital e la DLL WDSync.dll
che sembra legittima. In realtà è il malware S1deload che sfrutta la tecnica denominata DLL sideloading per aggirare i controlli di sicurezza. Dopo l’esecuzione, l’info-stealer si collega al server C2 (command and control) per ricevere i comandi.
Il malware può rubare le credenziali di login agli account Facebook e YouTube. In questo modo può continuare a diffondersi. Può anche stimare l’importanza dell’account utilizzato la Graph API del social network, ad esempio se l’utente gestisce l’account personale o aziendale.
S1deload scarica altri componenti, tra cui una versione modificata di Chrome che viene eseguita in background per simulare il comportamento umano e incrementare artificialmente il numero delle visualizzazioni dei video su YouTube e dei post su Facebook. Il malware può anche rubare password e cookie dal browser e installare un crypto miner che genera le criptovalute BEAM, sfruttando le risorse del computer.