Как китайска банда измами 4 милиона долара от потребители на Facebook

На конференцията за защита на Virus Bulletin 2020 членовете на екипа за сигурност на Facebook предоставиха повече подробности за един от най-сложните зловредни програми, които някога са били насочени към потребители на Facebook. Известни във Facebook като "SilentFade", хакерите, които са го използвали, са били активни между края на 2018 г. и февруари 2019 г., когато екипът за сигурност на Facebook засече присъствието им и се намеси, за да спре атаките им.

китайска

SilentFade използва комбинация от руткит на Windows, инжекции на браузър, интелигентни скриптове и нулев ден грешка в платформата Facebook, показвайки сложен режим на работа, рядко срещан при други хакери, насочени към платформата Facebook. Целта на операциите на SilentFade беше да зарази потребителите с руткита, да отвлече браузърите на потребителите и да открадне пароли и бисквитки на браузъра, за да имат достъп до акаунти във Facebook.

След като имаха достъп до него, групата потърси акаунти, в които присъства някакъв начин на плащане. За тези акаунти SilentFade купи реклами във Facebook с парите на жертвата.

Въпреки че е работил само няколко месеца, Facebook твърди, че хакерската група е успяла да измами потребители над 4 милиона долара, които са използвали за публикуване на злонамерени реклами във Facebook в социалната мрежа. Рекламите, които обикновено се показват в географския район на заразения потребител, за да ограничат експозицията им, използват подобен модел.

Те използваха преки пътища за URL адреси и изображения на знаменитости, за да привлекат потребителите към сайтове, продаващи съмнителни продукти като продукти за отслабване, хапчета и т.н.

Facebook откри операциите на SilentFade през февруари 2019 г., след съобщения от потребители за подозрителна дейност и незаконни транзакции от техните акаунти.

По време на последвалото разследване Facebook заяви, че е открил зловреден софтуер на групата, предишни щамове и кампании на зловреден софтуер, датиращи от 2016 г., и дори е проследил операциите на бандата на китайска компания и двама разработчици, които компанията съди през декември 2019 г.

Началото на SilentFade

Според Facebook бандата SilentFade е започнала работа през 2016 г., когато са разработили щам зловреден софтуер, наречен SuperCPA, насочен предимно към китайски потребители. „Не се знае много за този зловреден софтуер, тъй като той се задвижва предимно от изтеглени конфигурационни файлове, но ние вярваме, че той е бил използван за измами с кликвания - така че CPA в този случай се отнася до цена на действие. - чрез база за инсталиране на жертви в Китай,“ написаха Санчит Карве и Дженифър Ургилез от Facebook в своя доклад за SilentFade.

Facebook обаче казва, че групата се е отказала от зловредния софтуер SuperCPA през 2017 г., когато е разработила първата итерация на зловредния софтуер SilentFade. Тази първа версия съдържа своя руткит и заразени браузъри, за да открадне идентификационните данни на акаунти във Facebook и Twitter, с фокус върху проверени профили и профили на високо ниво.

Но разработването на SilentFade се възобнови през 2018 г., когато най-опасната му версия и тази, използвана при атаките през 2018 и 2019 г., видя бял свят.