Hogyan csalta el a kínai banda 4 millió dollárt a Facebook-felhasználóktól

A Virus Bulletin 2020 biztonsági konferencia során a Facebook biztonsági csapatának tagjai további részleteket közöltek az egyik legkifinomultabb rosszindulatú programról, amely valaha is megcélozta a Facebook felhasználókat. A Facebookon belül "SilentFade" néven ismert hackerek 2018 vége és 2019 februárja között aktívak voltak, amikor a Facebook biztonsági csapata észlelte jelenlétüket és beavatkoztak a támadásaik megállításához.

csalta

A SilentFade egy Windows rootkit, böngészőinjekciók, okos szkriptek és nulla napos hiba kombinációját használta a Facebook platformon, és kifinomult modus operandi-t mutatott be, amelyet ritkán láttak más, a Facebook platformot megcélzó hackerek. A SilentFade működésének célja az volt, hogy megfertőzze a felhasználókat a rootkit-kel, eltérítse a felhasználók böngészőit, valamint ellopja a böngésző jelszavait és sütiket, hogy hozzáférhessenek a Facebook-fiókokhoz.

Miután hozzájutottak, a csoport olyan számlákat keresett, amelyeken jelen volt valamilyen fizetési mód. Ezekre a számlákra a SilentFade Facebook-hirdetéseket vásárolt áldozat pénzéből.

Bár csak néhány hónapig működött, a Facebook azt állítja, hogy a hackercsoportnak sikerült több mint 4 millió dollárt átvernie a felhasználóknak, amellyel rosszindulatú Facebook-hirdetéseket tettek közzé a közösségi hálózaton. A hirdetések, amelyek általában a fertőzött felhasználó földrajzi területén jelentek meg, az expozíció korlátozása érdekében, hasonló mintát használtak.

URL-parancsikonokat és hírességi képeket használtak arra, hogy olyan webhelyekre csalogassák a felhasználókat, amelyek kérdéses termékeket, például fogyókúrás termékeket, tablettákat stb.

A Facebook 2019 februárjában fedezte fel a SilentFade működését, miután a felhasználók gyanús tevékenységeket és illegális tranzakciókat jelentettek a fiókjukból.

Az ezt követő vizsgálat során a Facebook közölte, hogy megtalálta a csoport rosszindulatú programjait, korábbi, 2016-ra visszanyúló rosszindulatú programokat és kampányokat, sőt a banda működését egy kínai vállalatra és két fejlesztőre vezette vissza, amelyek ellen a vállalat 2019 decemberében beperelte a pert.

A SilentFade kezdetei

A Facebook szerint a SilentFade banda 2016-ban kezdte meg működését, amikor kifejlesztették a SuperCPA nevű rosszindulatú program törzsét, amely elsősorban a kínai felhasználókat célozta meg. "Nem sokat tudni erről a rosszindulatú programról, mivel elsősorban letöltött konfigurációs fájlok vezérlik, de úgy gondoljuk, hogy kattintási csalásokra használták - ezért a CPA ebben az esetben a műveletenkénti költségre utal. - egy áldozat telepítési bázisán keresztül Kínában." írta Sanchit Karve és Jennifer Urgilez (Facebook) a SilentFade-ről szóló jelentésükben.

De a Facebook szerint a csoport 2017-ben megsemmisítette a SuperCPA rosszindulatú programot, amikor kifejlesztette a SilentFade kártevő első iterációját. Ez az első verzió tartalmazta rootkitjét és fertőzött böngészőit, hogy ellopják a Facebook és Twitter fiókok hitelesítő adatait, különös tekintettel az ellenőrzött profilokra és a magas szintű profilokra.

De a SilentFade fejlesztése 2018-ban folytatódott, amikor a legveszélyesebb verziója, valamint a 2018-as és 2019-es támadások során használt napvilágot látott.