Тадқиқотчилар 2022 йил ноябридан бери муҳим давлат инфратузилмаси ходимлари, ишлаб чиқариш компаниялари ва бошқа тармоқларни нишонга олган SYS01stealer номли янги ахборот ўғрисини топдилар. «Ҳужумчилар қурбонларни зарарли файлни юклаб олишга жалб қилиш учун Google рекламалари ва сохта Facebook профилларидан фойдаланган ҳолда Facebook бизнес аккаунтларини нишонга олишмоқда», дейилади киберхавсизлик бўйича тадқиқот олиб борувчи "Morphisec" компанияси ҳисоботида. "SYS01stealer" ўз қурбонларини асосан "Google Ads" реклама платформаси ва "Facebook" сохта аккаунтларидан фойдаланган ҳолда турли кўринишдаги ўйинлар ва бепул дастурларнинг рекламаси орқали жалб қилиб, зарарли файлни кўчириб олишга ундайди. "SYS01stealer" асосан "Facebook" ижтимоий тармоғидаги корпоратив ва бизнес-аккаунтларга йўналтирилган бўлиб, эгалланган аккаунтлар зарарли ҳаволани янада кенг тарқалишига олиб келади. Зарарли ҳавола фойдаланувчи томонидан ўйин ёки бепул дастурларни юклаб олиш учун сохта ҳаволага ўтган вақтида ишга тушади. Ҳужум махфий маълумотларни, жумладан логин маълумотлари, cookie файллари, Facebook рекламаси ва бизнес ҳисоби маълумотларини ўғирлаш учун мўлжалланган. "Morphisec" компанияси маълумотларига кўра, ҳужумлар занжири жабрланувчини дастурий таъминот ёки контентни бузишни назарда тутувчи ZIP архивини юклаб олиш учун сохта Facebook профили ёки рекламасидаги URL манзилини босишга муваффақ бўлганда бошланади. Қароқчи ҳавола файлларини йиғиш, жабрланувчининг Facebook маълумотларини масофавий серверга ўтказишда Chromium веб-браузерларидан (масалан, Google Chrome, Microsoft Edge, Brave, Opera вa Vivaldi каби) фойдаланади. Илова хотирага юкланганда ва ҳеч қандай излаш амаллари бажарилмаса, дастур қонуний файл ўрнига зарарли файлни юклайди, бу эса тажовузкорларга зарарли юкларни юклаб олиш ва амалга ошириш учун қонуний, ишончли ва ҳатто имзоланган иловаларни ўғирлаш имконини беради.