Як китайська банда ошукала 4 мільйони доларів від користувачів Facebook

Під час конференції з питань безпеки Virus Bulletin 2020 члени команди безпеки Facebook надали більше подробиць про одну з найскладніших шкідливих програм, яка коли-небудь націлювала користувачів Facebook. Внутрішньо відомий у Facebook як "SilentFade", хакери, які ним користувались, діяли з кінця 2018 року по лютий 2019 року, коли команда безпеки Facebook виявила їх присутність та втрутилася, щоб зупинити їхні атаки.

ошукала

SilentFade використовував комбінацію руткіта Windows, ін'єкцій браузера, розумних сценаріїв та помилки нульового дня на платформі Facebook, демонструючи складний режим роботи, який рідко можна побачити серед інших хакерів, націлених на платформу Facebook. Метою операцій SilentFade було зараження користувачів руткітом, викрадення браузерів користувачів та викрадення паролів та файлів cookie для доступу до облікових записів Facebook.

Як тільки вони отримали до нього доступ, група шукала рахунки, у яких була присутня якась форма оплати. Для цих рахунків SilentFade купував рекламу в Facebook за гроші жертви.

Хоча це працювало лише кілька місяців, Facebook стверджує, що хакерській групі вдалося обдурити користувачів на суму понад 4 мільйони доларів, які вони використовували для розміщення шкідливих оголошень Facebook у соціальній мережі. Оголошення, які зазвичай з’являлися в географічній зоні зараженого користувача, щоб обмежити їх вплив, використовували подібний шаблон.

Вони використовували ярлики URL-адрес та зображення знаменитостей, щоб заманити користувачів на сайти, що продають сумнівні продукти, такі як продукти для схуднення, таблетки тощо.

Facebook виявив діяльність SilentFade у лютому 2019 року, після повідомлень користувачів про підозрілу діяльність та незаконні транзакції з їхніх акаунтів.

Під час подальшого розслідування Facebook заявив, що виявив зловмисне програмне забезпечення групи, попередні штам шкідливого програмного забезпечення та кампанії, що датуються 2016 роком, і навіть простежив операції банди до китайської компанії та двох розробників, на які компанія подала позов у ​​грудні 2019 року.

Початок SilentFade

За даними Facebook, банда SilentFade розпочала свою діяльність у 2016 році, коли розробила штам шкідливого програмного забезпечення під назвою SuperCPA, в основному орієнтованого на китайських користувачів. "Про це шкідливе програмне забезпечення відомо небагато, оскільки воно в основному зумовлене завантаженими конфігураційними файлами, але ми вважаємо, що воно використовувалося для шахрайства із натисканням, тому CPA у цьому випадку стосується ціни за дію. Через базу встановлення жертви в Китаї" написали Санчіт Карве та Дженніфер Ургілез з Facebook у своєму звіті на SilentFade.

Але Facebook заявляє, що група звільнилася від шкідливого програмного забезпечення SuperCPA в 2017 році, коли розробила першу ітерацію шкідливого програмного забезпечення SilentFade. Ця перша версія містила свій руткіт та заражені браузери для викрадення облікових даних облікових записів Facebook та Twitter, з акцентом на перевірені профілі та профілі високого рівня.

Але розробка SilentFade відновилася в 2018 році, коли її світ побачила найнебезпечніша версія, яка використовувалася в атаках 2018 та 2019 років.

Як SilentFade поширився в Інтернеті

Санчіт Карве та Дженніфер Ургілез заявляють, що банда випустила сучасну версію SilentFade, поєднавши її із законним програмним забезпеченням, яке вони пропонували завантажити в Інтернеті. Facebook повідомляє, що знайшов рекламу від двох розробників SilentFade на хакерських форумах, де вони були готові купувати веб-трафік із зламаних сайтів або інших джерел, і перенаправляти цей трафік на сторінки, на яких розміщуються заражені програмні пакети.

Як тільки користувачі були заражені, троян SilentFade взяв під свій контроль комп'ютер Windows жертви, але замість того, щоб зловживати системою для більш нав'язливих операцій, він лише замінив законні файли DLL всередині. Установки браузера шкідливими версіями тієї самої DLL, яка дозволила SilentFade банда для управління браузером.

Орієнтованими браузерами були Chrome, Firefox, Internet Explorer, Opera, Edge, Orbitum, Amigo, Touch, Kometa та Яндекс. Шкідливі бібліотеки DLL викрали облікові дані, що зберігаються у браузері, але особливо файли cookie сеансу браузера. Потім SilentFade використовував файли cookie сеансу Facebook для доступу до облікового запису жертви без необхідності вводити облікові дані або маркер 2FA, видаючи себе за законного та вже автентифікованого власника облікового запису.

Нульова вада Facebook

Тут SilentFade продемонстрував свою справжню вишуканість. Facebook зазначає, що шкідливе програмне забезпечення використовувало інтелектуальні скрипти для відключення багатьох функцій безпеки соціальних мереж, і навіть виявляло та використовувало недолік нульового дня, щоб заважати користувачам знову вмикати вимкнені функції.

Санчіт Карве та Дженніфер Ургілес пояснили, що, щоб не дати користувачам зрозуміти, що хтось мав доступ до їхнього облікового запису або розміщував рекламу від їх імені, банда SilentFade використовувала свій контроль у браузері для доступу до розділу налаштувань Facebook. Користувач і деактивував:

  • повідомлення на сайті;
  • звуки повідомлень чату;
  • SMS-повідомлення;
  • сповіщення електронною поштою будь-якого типу;
  • сповіщення, пов’язані із сторінками.

Але SilentFade на цьому не зупинився. Знаючи, що системи безпеки Facebook можуть виявляти підозрілу активність та з'єднання та сповіщати користувача за допомогою приватного повідомлення, банда SilentFade також заблокувала акаунти "Facebook for Business" та "Facebook Login Alerts", які надсилали ці приватні повідомлення.

Потім група SilentFade шукала лазівку на платформі Facebook і зловживала нею кожного разу, коли користувач намагався розблокувати свій акаунт, викликаючи помилку та не даючи їм усунути дві заборони облікового запису.

"Це перший випадок, коли ми спостерігаємо, як шкідливе програмне забезпечення активно модифікує налаштування сповіщень, блокує сторінки та використовує помилку, щоб зберегти стійкість скомпрометованого облікового запису", - заявив Facebook. "Однак використання цієї вразливості до сповіщень стало активом, який дозволив нам виявляти скомпрометовані облікові записи, вимірювати ступінь зараження SilentFade та збігати зловживання з облікових записів користувачів зі шкідливим програмним забезпеченням, відповідальним за початковий злом облікового запису. "

Facebook повернув кошти всім користувачам

Facebook оголосив, що виправив недолік "нульового дня", скасував дії блокування сповіщень шкідливого програмного забезпечення та відшкодував всім користувачам, чиї акаунти були зловживані, за придбання шкідливої ​​реклами на Facebook. На цьому компанія не зупинилася. Протягом 2019 року він відстежував зловмисне програмне забезпечення та його творців. Підказки були знайдені в обліковому записі GitHub, який, мабуть, розміщував багато бібліотек, що використовуються для створення шкідливого програмного забезпечення SilentFade.

Facebook розмістив цей обліковий запис та шкідливе програмне забезпечення SilentFade від ILikeAd Media International Company Ltd., гонконгської програмної компанії, заснованої в 2016 році, разом із двома людьми: Чень Сяо Конг та Хуан Тао. Facebook подав позов проти компанії та двох розробників у грудні 2019 року у незавершеній судовій справі.

Facebook додає, що SilentFade був частиною ширшої тенденції та нового покоління акторів кіберзлочинності, які, як видається, проживають у Китаї і які постійно націлювали свою платформу та соковиту базу користувачів на 2 мільярди. Сюди також належать сайти Scranos, FacebookRobot та StressPaint.