Iza oglasa za lažni Ads Manager krije se malver koji krade Facebook naloge

Društvene mreže, 18.07.2023, 11:30 AM

Kao i sve društvene mreže i Facebook neprestano muku muči sa lažnim nalozima, prevarama i malverima.

Mnogim firmama Facebook služi kao platforma za promociju njihovih proizvoda i usluga, ali istu platformu koriste i sajber kriminalci za širenje malvera.

Kompanija Malwarebytes upozorila je na do sada nepoznatu kriminalnu grupu poreklom iz Vijetnama koja stoji iza ciljanih napada na poslovne korisnike Facebooka, koji imaju za cilj krađu naloga za oglašavanje. Ono što ovu situaciju čini još alarmantnijom jeste to što su napadi prijavljeni širom sveta. Do sada je registovano više od 800 žrtava iz celog sveta, i kompromitovano 180.000 dolara budžeta za oglase.

Malwarebytes je primetio značajan porast sponzorisanih objava, a istraga je otkrila da sajber kriminalci distribuiraju lažni Ads Manager softver koji reklamiraju kao efikasan alat za optimizaciju oglasa na Facebooku.

Ads Manager je alat koja omogućava korisnicima da objave oglase na različitim Metinim platformama, uključujući Facebook i Instagram.

Još u maju je primećeno da prevaranti kupuju oglase od Mete preko verifikovanih naloga, koje posle koriste da bi namamili žrtve da preuzmu softver koji reklamiraju kao profesionalan i bezbedan alat za oglašavanje. U junu je Malwarebytes primetio lažne naloge i istu prevaru sa sličnim mamcima za korisnike društvene mreže. Ovi lažni nalozi često imaju na desetine hiljada pratilaca i svaka od njihovih objava brzo postaje viralna. Ciljevi napada su poslovni korisnici koji plaćaju oglase na platformi.

Da bi kompromitovali ove naloge, napadači usmeravaju žrtve na eksterne veb sajtove. Reč je o sajtovima na kojima se nalazi Metin logo, i koji liče na Metine sajtove. Facebook Ads Manager žrtve preuzimaju preko linka na ovim sajtovima, a do sada su hakeri koristili različite provajdere za hostovanje RAR fajlova zaštićenih lozinkom.

Kada žrtva otvori RAR fajl, MSI instalacioni paket instalira nekoliko komponenti u direktorijum: C:Program Files (x86)Ads ManagerAds Manager. Nakon toga, pokreće se skripta koja otvara novi prozor pretraživača koji prikazuje ekstenziju.

U ovom prozoru, od žrtve koja ništa ne sluti se traži da unese svoje podatke za prijavljivanje na Facebook na lažnoj stranici za prijavu. Preko ove lažne stranice za prijavu sajber kriminalci imaju za cilj da prikupe akreditive žrtava, što će im omogućiti pristup Facebook poslovnim nalozima žrtava.

Instalirana ekstenzija je maskirana u Google Translate ekstenziju. Jedina njena svrha je da prikupi Facebook akreditive i kolačiće korisnika.

Da bi izvukli ukradene podatke iz sistema žrtve, sajber kriminalci koriste Google analitiku kao kanal što im omogućava da neprimetno prenesu ukradene informacije.
Ono što je posebno zanimljivo je to da je ova kampanja otkrivena zahvaljujući grešci koju su napravili sami napadači na fišing sajtu na koji su naišli istraživači iz Malwarebytes.
Oni su slučajno u fajlu Meta Ads Manager.rar koji se mogao preuzeti sa sajta na koji su slučajno naišli istraživači iz kompanije Malwarebytes, a koji je hostovan na Google Drive, umesto MSI fajla stavili nekoliko tekstualnih fajlova sa ukradenim podacima, što je na kraju dovelo do otkrivanja ove kampanje. Hakeri su otkili na taj način i informacije o jednom od njih koji je podelio fajl preko Google Drivea, uključujući i njegovu Gmail adresu koja je dostavljena kompaniji Meta.

Kada su shvatili da su napravili grešku, kriminalci su odmah uklonili fajl sa svog naloga na Google disku, a zatim ažurirali link za preuzimanje na fišing sajtu novim fajlom koji se nalazi na MediaFire. Ovaj potez je verovatno bio pokušaj da se prikriju tragovi.

Malwarebytes je o svom otkriću obavestio Facebook koji je potom preduzeo hitne mere.

Žrtvama se savetuje da odmah opozovu pristup svim neidentifikovanim korisnicima njihovog Business Manager profila, i da pregledaju istoriju svojih tranaskcija. Takođe je poželjno da sprovedu temeljno skeniranje računara kako bi otkrili i uklonili malver koji je možda instaliran.

Foto: Malwarebytes