Kako su kineski kriminalci ukrali od korisnika Facebooka 4 miliona dolara

Društvene mreže, 02.10.2020, 02:00 AM

Kako su kineski kriminalci ukrali od korisnika Facebooka 4 miliona dolara

Na konferenciji o bezbednosti Virus Bulletin 2020, članovi Facebookovog tima zaduženog za bezbednost društvene mreže otkrili su detalje o kriminalnoj grupi SilentFade, i njenim aktivnostima usmerenim protiv korisnika Facebooka.

Grupa SilentFade, bila je aktivna od kraja 2018. do februara 2019. godine, kada je Facebookov tim za bezbednost otkrio njihovo prisustvo i intervenisao da bi zaustavio njihove napade.

SilentFade je koristio kombinaciju različitih tehnika napada, a sofisticiranost njihovog načina rada retko se viđa kada je reč o kriminalnim grupama koje napadaju Facebook platformu.

Svrha napada grupe SilentFade bila je infekcija korisnika društvene mreže rootkitom, preuzimanje kontrole nad pregledačima korisnika i krađa lozinki i kolačića pregledača kako bi se moglo pristupiti Facebook nalozima.

Grupa je tražila naloge korisnika koji su svom profilu dodali neki od metoda plaćanja. SilentFade je kupovao Facebook oglase koristeći novac žrtava.

Uprkos tome što je radila samo nekoliko meseci, Facebook je rekao da je grupa uspela da prevari zaražene korisnike za više od 4 miliona dolara, koje je koristila za postavljanje zlonamernih oglasa na društvenoj mreži. Oglasi, koji su se obično prikazivali shodno lokaciji zaraženog korisnika, da bi se ograničila njihova vidljivost, imali su sličan obrazac. Grupa je koristila skraćivače URL-ova i slike poznatih ličnosti kako bi privukla korisnike na sajtove na kojima se prodaju sumnjivi proizvodi, poput proizvoda za mršavljenje, keto tableta i još mnogo toga.

Facebook je otkrio poslove SilentFadea u februaru 2019. godine, nakon što je počeo da od korisnika dobija prijave o sumnjivim aktivnostima i neovlašćenim transakcijama sa njihovih naloga.

Istraga je otkrila da napadi grupe datiraju još od 2016. godine. Stručnjaci iz Facebooka pratili su aktivnosti grupe što ih je dovelo do kineske kompanije i dva programera, koje je kompanija tužila u decembru 2019. godine.

Grupa SilentFade počela je sa radom 2016. godine, kada je prvi put razvila malver nazvan SuperCPA, prvenstveno usmeren protiv kineskih korisnika.

Facebook kaže da je grupa napustila malver SuperCPA 2017. godine kada je razvila prvu verziju malvera SilentFade. Ova rana verzija sadržala je rootkit i inficirala je pregledače da bi krala lozinke za Facebook i Twitter naloge, sa fokusom na verifikovane i profile sa velikim brojem pratilaca.

SilentFade je ubrzao razvoj malvera 2018. godine kada je nastala njegova najopasnija verzija, ona koja se koristila u napadima 2018. i 2019. godine.

Facebook kaže da je grupa širila tu verziju SilentFadea spajajući je sa legitimnim softverom koji su nudili korisnicima. Facebook je rekao da je pronašao oglase dva programera SilentFadea objavljene na hakerskim forumima iz kojih se vidi da su bili spremni da kupuju veb saobraćaj sa hakovanih veb sajtova ili iz drugih izvora, i da je taj saobraćaj preusmeravan na stranice koje hostuju softverske pakete zaražene SilentFadeom.

Kada bi se korisnici zarazili, SilentFadeov rootkit preuzimao je kontrolu nad Windows računarom žrtve, ali umesto da zloupotrebljava sistem, on je samo menjao legitimne DLL fajlove u instalacijama pregledača zlonamernim verzijama istog DLL-a koji je omogućavao grupi SilentFade kontrolu nad pregledačem. Ciljani pregledači su bili Chrome, Firefox, Internet Explorer, Opera, Edge, Orbitum, Amigo, Touch, Kometa i Yandex. Zlonamerni DLL-ovi krali su lozinke sačuvane u pregledaču, ali što je još važnije, kolačiće sesija pregledača. SilentFade je zatim koristio kolačiće Facebook sesije da bi pristupio žrtvinom Facebook nalogu, bez potrebe da unose lozinku ili 2FA token, prolazeći kao legitimni i već provereni vlasnik naloga. Ovde je SilentFade pokazao svoju istinsku sofisticiranost.

Facebook je rekao da je malver onemogućavao mnoge sigurnosne funkcije društvene mreže, pa čak i koristio nepoznate ranjivosti platforme kako bi sprečio korisnike da ponovo omoguće onemogućene funkcije.

Facebook je objasnio da je grupa SilentFade koristila kontrolu nad pregledačem da bi pristupila odeljku za podešavanja Facebooka i onemogućila obaveštenja sa sajta, zvuk obaveštenja o poruci, SMS obaveštenja, email obaveštenja bilo koje vrste i obaveštenja u vezi sa stranicama. Na taj način grupa je sprečavala da korisnici saznaju da je neko pristupao njihovom nalogu ili da je objavljivao oglase u njihovo ime.

Ali SilentFade se ovde nije zaustavio. Znajući da Facebookovi bezbednosni sistemi mogu otkriti sumnjive aktivnosti i obavestiti korisnika preko privatne poruke, grupa SilentFade je takođe blokirala Facebook for Business i Facebook Login Alerts koji su pre svega slali ove privatne poruke.

Grupa SilentFade je zatim koristila grešku na Facebook platformi i zloupotrebljavala je svaki put kada bi korisnik pokušao da odblokira nalog.

„Ovo je prvi put da smo primetili da malver aktivno menja podešavanja obaveštenja, blokira stranice i iskorišćava grešku u podsistemu za blokiranje kako bi opstao na kompromitovanom nalogu“, rekao je Facebook.

Ali upravo korišćenje ove greške povezane sa obaveštavanjem pomoglo je Facebooku da otkrije ugrožene naloge, proceni razmere delovanja SilentFadea i mapira zloupotrebu korisničkih naloga.

Facebook je rekao da je ispravio ovaj bag, poništio blokiranje obaveštenja za koje je odgovoran malver i vratio novac svim korisnicima čiji su nalozi zloupotrebljeni za kupovinu zlonamernih Facebook oglasa.

Kompanija se takođe nije zaustavila ovde. Njeni stručnjaci su pratili tragove grupe tokom 2019. godine i otkrili GitHub nalog povezan sa grupom i kompanijom ILikeAd Media International Company Ltd., hongkonškom softverskom kompanijom koja je osnovana 2016. godine, i dvojicom ljudi koji stoje iza nje - Čen Ksiao Congom i Huang Taom. Facebook je u decembru 2019. godine tužio kompaniju i dva programera, a postupak protiv njih je još uvek u toku.

Facebook je takođe rekao da je SilentFade deo trenda i nove generacije kineskih sajber-kriminalaca koji uporno napadaju njegovu platformu.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Facebook oglasi za aplikaciju Clubhouse inficiraju računare ransomwareom

Facebook oglasi za aplikaciju Clubhouse inficiraju računare ransomwareom

Sajber kriminalci često koriste popularnost nekih aplikacija da bi prevarili korisnike i inficirali što više uređaja. Aplikacija Clubhouse trenutn... Dalje

Podaci 500 miliona korisnika LinkedIna prodaju se na jednom hakerskom forumu

Podaci 500 miliona korisnika LinkedIna prodaju se na jednom hakerskom forumu

Nekoliko dana nakon što se masovno curenje podataka korisnika Facebooka našlo u svim vestima, stiže nova vest o još jednom curenju podataka, ovog ... Dalje

Facebook ne planira da obavesti 533 miliona svojih korisnika o curenju njihovih podataka

Facebook ne planira da obavesti 533 miliona svojih korisnika o curenju njihovih podataka

Facebook nije obavestio više od 533 miliona svojih korisnika da su njihovi podaci procurili zbog greške u funkciji koja omogućava uvoz kontakata i ... Dalje

Kako da proverite da li su hakeri ukrali vaš broj telefona sa Facebooka

Kako da proverite da li su hakeri ukrali vaš broj telefona sa Facebooka

Na sajtu „Have I Been Pwned” korisnici Facebooka sada mogu proveriti da li je njihov telefonski broj u bazi podataka koji su ukradeni 2019... Dalje

Iza lažnih ponuda za posao na LinkedInu krije se opasni malver

Iza lažnih ponuda za posao na LinkedInu krije se opasni malver

Microsoftova poslovna društvena mreža LinkedIn ima više od 740 miliona korisnika iz 200 zemalja. To je čini privlačnom metom za sajber kriminalce... Dalje