A SilentFade-Group kínai rosszindulatú program-banda kiszakítja a Facebook-felhasználókat

Iparági konferencián a Facebook biztonsági csapata megosztotta a SilentFade Group által a platformon található kártékony programok elleni átverés részleteit.

silentfade-group

A kínai hackerek, a SilentFade Group egy Windows trójai programot, böngészőinjekciókat, okos szkripteket és egy Facebook platformhibát használtak, hogy megvásárolják és közzétegyék a Facebookon a fogyókúrás tablettákra, a hamis designer kézitáskákra és egyebekre feltört felhasználók számára. A hackerek 4 millió dollárt költöttek az áldozatokra - írja a zdnet.

A Virus Bulletin 2020 biztonsági konferencián a Facebook biztonsági csapatának tagjai elárulták az egyik legfejlettebb malware kampány részleteit, amelyeket valaha a Facebook felhasználók számára folytattak. A konferencia vonzza a biztonsági és egyéb szektor műszaki és célcsoportjait. Fontos betekintést nyújt a legújabb kutatási eredményekbe, trendekbe és fejlesztésekbe az informatikai biztonság minden területén. A konferenciára gyakorlatilag először 2020. szeptember 30. és október 2. között került sor.

A SilentFade milliókat csalt ki a Facebook felhasználóinak

Ennek megfelelően a SilentFade nevű kiberbűnözői hackercsoport kártevőket használt fel a feltört Facebook felhasználók hirdetéseinek vásárlására 2018 végétől 2019 februárjáig. Annak ellenére, hogy a kampány csak néhány hónapig tartott, a bűnözőknek több mint 4 millió dollárt sikerült ellopniuk a felhasználóktól. A SilentFade a Windows trójaiak, a böngészőinjekciók, a szkriptek és a Facebook platform egyik sebezhetőségének kombinációját használta a támadáshoz. Ennek során a hackerek olyan kifinomult kampányt mutattak be, amelyet a bűnözők ritkán látnak.

A törvényes szoftver elrejtette a trójaiakat

A szakértők szerint a bűnözők a SilentFade kártevő modern verzióját terjesztették. Ez törvényes szoftverrel van együtt, és letölthetővé válik az interneten. Miután a SilentFade trójai elérte a felhasználó Windows-eszközét, a hackerek átvették az irányítást az áldozat számítógépe felett. Itt a rosszindulatú programok a legitim DLL fájlokat a böngésző telepítésekor rosszindulatú másolatokra cserélték, így a SilentFade irányíthatta a böngészőt. A célböngészők között megtalálható volt a Chrome, Firefox, Internet Explorer, Opera, Edge, Orbitum, Amigo, Touch, Kometa és a Yandex böngésző.

A rosszindulatú DLL-fájlok ellopták a böngészőben tárolt hitelesítő adatokat, de ami a legfontosabb, a böngésző munkamenetei. A SilentFade ezután a Facebook munkamenet süti segítségével hozzáférést kapott az áldozat Facebook-fiókjához hitelesítő adatok vagy 2FA token megadása nélkül. A fiókot törvényes és már hitelesített számlatulajdonosként adták tovább. Amint a bűnözők megkapták a hozzáférési engedélyt, olyan számlákat kerestek, amelyek számláján volt fizetési mód. A hackerek az áldozat pénzeszközeit arra használták fel, hogy a nevükben a közösségi hálón hirdessenek.

A rosszindulatú program szkriptekkel is kikapcsolta a közösségi hálózat számos biztonsági funkcióját. A hackerek biztonsági rést fedeztek fel a Facebook platformon, és kihasználták azt. Annak megakadályozása érdekében, hogy a felhasználók megtudják, hogy valaki hozzáférett a fiókjukhoz, vagy hirdetéseket tett közzé a nevükben, a SilentFade csoport kihasználta a böngésző irányítását, hogy hozzáférjen a felhasználó Facebook-beállítások részéhez. Ez ugyanakkor kizárta, hogy a felhasználók újraaktiválhassák az inaktivált funkciókat (webhelyértesítések, csevegési értesítési hangok, SMS-értesítések, e-mail). Tudva, hogy a Facebook biztonsági rendszerei gyanús tevékenységeket és bejelentkezéseket képesek észlelni, és privát üzenetben értesíthetik a felhasználót, a hackerek letiltották a Facebook cégeknek és a Facebook bejelentkezési riasztások fiókokat.

A Facebook észrevette a problémát, mert sok felhasználó gyanús tevékenységről és jogosulatlan pénztranzakciókról számolt be a számláján.

Facebook: A GitHub fiók vezetett a hackelő bandához

„Ez volt az első alkalom, hogy a rosszindulatú programok aktívan megváltoztatták az értesítési beállításokat, letiltották az oldalakat, és kihasználták a blokkoló alrendszer hibáját, hogy fenntartsák a veszélyt a megsértett fiókban. Ennek az értesítési hibának a kihasználása azonban útjelző tábla lett, amely segített nekünk a sebezhető fiókok azonosításában. Meg tudtuk mérni a fertőzések mértékét. Ezenkívül lehetséges volt, hogy a felhasználói fiókokból eredő visszaéléseket annak a rosszindulatú programnak tulajdonítsuk, amely felelős a fiók kezdeti kompromisszumáért. "

A Facebook biztonsági csapata nyomon követett egy nyomon követett GitHub-fiókot, amely a SilentFade kártevő létrehozásához használt könyvtárak sokaságát tárolta. A biztonsági szakértők ezt a fiókot és a SilentFade rosszindulatú programot a 2016-ban alapított hongkongi székhelyű ILikeAd Media International Company, valamint két alkalmazottja, Chen Xiao Kong és Huang Tao nyomára bukkanták. A Facebook 2019 decemberében beperelte a céget és a két fejlesztőt. Az eljárás jelenleg még tart.

A biztonsági rés lezárása és a felhasználók értesítési lehetőségeinek aktiválása után a Facebook megtérítette az összes érintett felhasználónak a támadás következtében elvesztett pénzt.

Antonia 2016 januárja óta az Invisibility szerzője. Könyvkritikákkal kezdte. Most inkább jogi témákról ír, például a P2P-esetekről, de más internetes témákat is felvesz, például a számítógépes bűnözésről. Érdeklődése elsősorban az irodalommal kapcsolatos.