Китайската банда за злонамерен софтуер SilentFade-Group изтръгва потребителите на Facebook

На индустриална конференция екипът за сигурност на Facebook сподели подробности за измама със зловреден софтуер от SilentFade Group на своята платформа.

злонамерен

Китайските хакери, SilentFade Group, използваха троянец на Windows, инжекции в браузъра, интелигентни скриптове и грешка във Facebook платформа, за да купуват и публикуват реклами във Facebook за хапчета за отслабване, фалшиви дизайнерски чанти и други за хакнати потребители. Хакерите са похарчили $ 4 милиона пари за жертвите, съобщава zdnet.

На конференцията за сигурност на Virus Bulletin 2020 членовете на екипа за сигурност на Facebook разкриха подробности за една от най-модерните кампании за злонамерен софтуер, провеждани някога за потребители на Facebook. Конференцията привлича технически, както и целеви групи от сектора за сигурност и други сектори. Той предлага важна информация за последните резултати от изследвания, тенденции и разработки във всички аспекти на ИТ сигурността. Конференцията се проведе на практика за първи път от 30 септември до 2 октомври 2020 г.

SilentFade измами потребителите на Facebook от милиони

Съответно хакерска група за киберпрестъпници, наречена SilentFade, използва злонамерен софтуер, за да купува реклами за хакнати потребители на Facebook от края на 2018 г. до февруари 2019 г. Въпреки факта, че кампанията продължи само няколко месеца, престъпниците успяха да откраднат над 4 милиона долара от потребители. SilentFade използва комбинация от троянски коне на Windows, инжекции на браузър, скриптове и уязвимост на платформата Facebook за атаката. По този начин хакерите демонстрираха кампания, която беше толкова усъвършенствана, че престъпниците рядко я виждат.

Легитимен софтуер скри троянски коне

Според експертите престъпниците са разпространили модерна версия на зловредния софтуер SilentFade. Това е в комплект с легитимен софтуер и е достъпно за изтегляне в Интернет. Веднага след като троянецът SilentFade удари устройството на Windows на потребител, хакерите поеха контрола над компютъра на жертвата. Тук зловредният софтуер замени законните DLL файлове в инсталациите на браузъра със злонамерени копия, така че SilentFade да може да контролира браузъра. Целевите браузъри включват Chrome, Firefox, Internet Explorer, Opera, Edge, Orbitum, Amigo, Touch, Kometa и браузъра Yandex.

Злонамерените DLL откраднаха идентификационни данни, съхранявани в браузъра, най-важното - бисквитки за сесии на браузъра. След това SilentFade използва бисквитката на сесията на Facebook, за да получи достъп до акаунта на жертвата във Facebook, без да е необходимо да предоставя идентификационни данни или токен 2FA. Профилът беше предаден като легитимен и вече удостоверен притежател на акаунт. Веднага след като престъпниците получиха разрешение за достъп, те потърсиха акаунти, които имаха начин на плащане в тяхната сметка. Хакерите използваха средствата на жертвата, за да рекламират от тяхно име в социалната мрежа.

Злонамереният софтуер също използва скриптове, за да деактивира много от функциите за сигурност на социалната мрежа. Хакерите откриха уязвимост в сигурността в платформата Facebook и се възползваха от нея. За да попречат на потребителите да разберат, че някой е осъществил достъп до техния акаунт или е публикувал реклами от тяхно име, групата SilentFade се възползва от техния контрол върху браузъра за достъп до раздела за настройки на потребителя във Facebook. В същото време това изключваше потребителите да могат да активират отново деактивираните функции (известия на сайта, тонове за известяване в чата, SMS известия, имейл). Знаейки, че системите за сигурност на Facebook могат да откриват подозрителна активност и влизания и да уведомяват потребителя чрез лично съобщение, хакерите също така блокираха акаунтите във Facebook for Business и Facebook Login Alerts.

Facebook забеляза проблема, тъй като много потребители съобщиха за подозрителна активност и неоторизирани парични транзакции в техните акаунти.

Facebook: Профилът в GitHub доведе до хакерската банда

„Това беше първият път, когато зловредният софтуер активно променя настройките за известяване, блокира страници и използва недостатък в блокиращата подсистема, за да поддържа постоянство в компрометиран акаунт. Възползването от тази грешка в уведомяването обаче се превърна в указател, който ни помогна да идентифицираме уязвими акаунти. Успяхме да измерим степента на инфекциите. Освен това беше възможно да припишем злоупотребата, произтичаща от потребителски акаунти, на злонамерения софтуер, който е отговорен за първоначалния компрометиране на акаунта. "

Екипът за сигурност на Facebook разследва проследен акаунт в GitHub, който хоства много от библиотеките, използвани за създаване на зловреден софтуер SilentFade. Експертите по сигурността проследяват този акаунт и зловредния софтуер SilentFade на ILikeAd Media International Company, базирана в Хонг Конг софтуерна компания, основана през 2016 г., както и на двама от нейните служители, Chen Xiao Kong и Huang Tao. Facebook съди компанията и двамата разработчици през декември 2019 г. В момента процедурата все още продължава.

След като затвори дупката в сигурността и активира опциите за уведомяване за потребителите, Facebook възстанови на всички засегнати потребители загубените пари в резултат на атаката.

Антония е автор в Invisibility от януари 2016 г. Тя започна с рецензии на книги. Сега тя предпочита да пише по правни теми като дела за P2P, но също така се занимава и с други интернет теми като киберпрестъпността. Интересите й са свързани главно с литература.