SilentFade-Group, o bandă chineză de malware elimină utilizatorii Facebook

La o conferință din industrie, echipa de securitate Facebook a distribuit detalii despre o înșelătorie malware de către SilentFade Group pe platforma sa.

silentfade-group

Hackerii chinezi, SilentFade Group, au folosit un troian Windows, injecții de browser, scripturi inteligente și o eroare a platformei Facebook pentru a cumpăra și posta reclame pe Facebook pentru pastile dietetice, genți de mână de designer false și multe altele pentru utilizatorii hackerați. Hackerii au cheltuit 4 milioane de dolari în bani pentru victime, relatează zdnet.

La conferința de securitate Virus Bulletin 2020, membrii echipei de securitate Facebook au dezvăluit detalii despre una dintre cele mai avansate campanii malware realizate vreodată pentru utilizatorii Facebook. Conferința atrage atât grupuri tehnice, cât și ținte din sectorul securității și din alte sectoare. Oferă informații importante despre ultimele rezultate ale cercetării, tendințe și evoluții în toate aspectele securității IT. Conferința a avut loc practic pentru prima dată în perioada 30 septembrie - 2 octombrie 2020.

SilentFade a înșelat utilizatorii Facebook din milioane

În consecință, un grup de hackeri cibernetici, numit SilentFade, a cumpărat reclame pentru utilizatorii Facebook piratați folosind malware de la sfârșitul anului 2018 până în februarie 2019. În ciuda faptului că campania a durat doar câteva luni, infractorii au reușit să fure mai mult de 4 milioane de dolari de la utilizatori. SilentFade a folosit o combinație de troieni Windows, injecții de browser, scripturi și o vulnerabilitate pe platforma Facebook pentru atac. Procedând astfel, hackerii au demonstrat o campanie atât de sofisticată, care este rar văzută de criminali.

Software-ul legitim a ascuns troienii

Potrivit experților, infractorii au distribuit o versiune modernă a malware-ului SilentFade. Acesta este inclus în pachet cu software legitim și disponibil pentru descărcare pe Internet. Odată ce troianul SilentFade a lovit dispozitivul Windows al unui utilizator, hackerii au preluat controlul computerului victimei. Aici, malware-ul a înlocuit fișierele DLL legitime din instalațiile browserului cu copii rău intenționate, astfel încât SilentFade să poată controla browserul. Browserele vizate au inclus Chrome, Firefox, Internet Explorer, Opera, Edge, Orbitum, Amigo, Touch, Kometa și browserul Yandex.

DLL-urile rău intenționate au furat acreditările stocate în browser, cel mai important, cookie-urile pentru sesiunile de browser. SilentFade a folosit apoi cookie-ul de sesiune Facebook pentru a obține acces la contul Facebook al victimei fără a fi nevoie să furnizați acreditări sau un token 2FA. Contul a fost transmis ca titular legitim și deja autentificat al contului. De îndată ce infractorii au primit autorizația de acces, au căutat conturi care aveau o metodă de plată în contul lor. Hackerii au folosit fondurile victimei pentru a face publicitate în numele lor pe rețeaua socială.

De asemenea, malware-ul a folosit scripturi pentru a dezactiva multe dintre funcțiile de securitate ale rețelei sociale. Hackerii au descoperit o vulnerabilitate pe platforma Facebook și au exploatat-o. Pentru a împiedica utilizatorii să afle că cineva și-a accesat contul sau a postat anunțuri în numele lor, grupul SilentFade a profitat de controlul lor asupra browserului pentru a accesa secțiunea de setări Facebook a utilizatorului. În același timp, acest lucru a exclus faptul că utilizatorii ar putea reactiva funcțiile dezactivate (notificări de site, tonuri de notificare de chat, notificări SMS, e-mail). Știind că sistemele de securitate Facebook pot detecta activități și conectări suspecte și pot notifica utilizatorul printr-un mesaj privat, hackerii au blocat și conturile Facebook for Business și Alerte de conectare Facebook.

Facebook a observat problema deoarece mulți utilizatori au raportat activități suspecte și tranzacții neautorizate de bani pe conturile lor.

Facebook: Contul GitHub a condus la banda de hacking

„Aceasta a fost prima dată când malware-ul a modificat activ setările de notificare, a blocat paginile și a profitat de o eroare a subsistemului de blocare pentru a menține persistența într-un cont compromis. Cu toate acestea, a profita de această eroare de notificare a devenit un indicator care ne-a ajutat să identificăm conturile vulnerabile. Am reușit să măsurăm amploarea infecțiilor. În plus, a fost posibil pentru noi să atribuim abuzul provenit din conturile de utilizator malware-ului care este responsabil pentru compromisul contului inițial. "

Echipa de securitate Facebook a investigat un cont GitHub urmărit, care găzduia multe dintre bibliotecile utilizate pentru a crea malware-ul SilentFade. Experții în securitate au urmărit acest cont și malware-ul SilentFade către ILikeAd Media International Company, o companie de software din Hong Kong, fondată în 2016, și către doi dintre angajații săi, Chen Xiao Kong și Huang Tao. Facebook a dat în judecată compania și cei doi dezvoltatori în decembrie 2019. În prezent, procedura este încă în desfășurare.

După închiderea găurii de securitate și activarea opțiunilor de notificare pentru utilizatori, Facebook a rambursat tuturor utilizatorilor afectați banii pierduți în urma atacului.

Antonia este autor la Invisibility din ianuarie 2016. A început cu recenzii de carte. Acum preferă să scrie despre subiecte juridice, cum ar fi cazurile P2P, dar abordează și alte subiecte pe internet, cum ar fi criminalitatea informatică. Interesele ei sunt legate în principal de literatură.