Modul în care o bandă chineză a înșelat 4 milioane de dolari de la utilizatorii Facebook

În timpul conferinței de securitate Virus Bulletin 2020, membrii echipei de securitate Facebook au oferit mai multe detalii despre unul dintre cele mai sofisticate programe malware care a vizat vreodată utilizatorii Facebook. Cunoscute intern la Facebook ca „SilentFade”, hackerii care l-au folosit au fost activi între sfârșitul anului 2018 și februarie 2019, când echipa de securitate a Facebook și-a detectat prezența și a intervenit pentru a-și opri atacurile.

care

SilentFade a folosit o combinație între un rootkit Windows, injecții de browser, scripturi inteligente și un bug de zero zile în platforma Facebook, prezentând un modus operandi sofisticat rar întâlnit cu alți hackeri care vizează platforma Facebook. Scopul operațiunilor SilentFade a fost de a infecta utilizatorii cu rootkit-ul, de a deturna browserele utilizatorilor și de a fura parolele și cookie-urile browserului pentru a putea accesa conturile Facebook.

Odată ce au avut acces la el, grupul a căutat conturi care aveau o formă de plată prezentă. Pentru aceste conturi, SilentFade a cumpărat reclame pe Facebook din banii victimei.

Deși a funcționat doar câteva luni, Facebook susține că grupul de hackeri a reușit să înșele utilizatori peste 4 milioane de dolari, pe care i-au folosit pentru a posta anunțuri Facebook rău intenționate pe rețeaua socială. Anunțurile, care au apărut de obicei în zona geografică a utilizatorului infectat, pentru a limita expunerea lor, au folosit un model similar.

Au folosit comenzi rapide URL și imagini de vedete pentru a atrage utilizatorii pe site-uri care vând produse discutabile, cum ar fi produse de slăbit, pastile etc.

Facebook a descoperit operațiunile SilentFade în februarie 2019, în urma rapoartelor utilizatorilor de activități suspecte și a tranzacțiilor ilegale din conturile lor.

În timpul anchetei care a urmat, Facebook a declarat că a găsit malware-ul grupului, tulpini de malware anterioare și campanii care datează din 2016 și chiar a trasat operațiunile bandei către o companie chineză și doi dezvoltatori, pe care compania i-a dat în judecată în decembrie 2019.

Începuturile SilentFade

Potrivit Facebook, banda SilentFade a început să funcționeze în 2016, când au dezvoltat o varietate de programe malware numite SuperCPA, destinate în principal utilizatorilor chinezi. „Nu se știu prea multe despre acest malware, deoarece este generat în principal de fișiere de configurare descărcate, dar credem că a fost utilizat pentru fraudarea clicurilor - astfel CPA se referă în acest caz la costul pe acțiune - printr-o bază de instalare a victimelor din China”. au scris Sanchit Karve și Jennifer Urgilez, de pe Facebook, în raportul lor de pe SilentFade.

Dar Facebook spune că grupul a eliminat malware-ul SuperCPA în 2017, când a dezvoltat prima iterație a malware-ului SilentFade. Această primă versiune conținea rootkit-ul și browserele infectate pentru a fura acreditările conturilor Facebook și Twitter, cu accent pe profilurile verificate și profilurile la nivel înalt.

Dar dezvoltarea SilentFade a fost reluată în 2018, când cea mai periculoasă versiune a sa și cea folosită în atacurile din 2018 și 2019 au văzut lumina zilei.