Китайська банда зловмисних програм SilentFade-Group викрадає користувачів Facebook
На галузевій конференції команда безпеки Facebook поділилася деталями шахрайства з шкідливим програмним забезпеченням SilentFade Group на своїй платформі.
Китайські хакери, група SilentFade, використовували троянську програму Windows, ін’єкції браузера, розумні сценарії та помилку платформи Facebook, щоб купувати та розміщувати рекламу на Facebook для таблеток для схуднення, підроблених дизайнерських сумочок тощо для зламаних користувачів. Хакери витратили 4 мільйони доларів на гроші жертв, повідомляє zdnet.
На конференції з питань безпеки Virus Bulletin 2020 члени групи безпеки Facebook розкрили подробиці про одну з найдосконаліших шкідливих програм, коли-небудь проведених для користувачів Facebook. Конференція залучає як технічні, так і цільові групи з безпеки та інших секторів. Він пропонує важливу інформацію про останні результати досліджень, тенденції та розробки у всіх аспектах ІТ-безпеки. Конференція відбулась фактично вперше з 30 вересня по 2 жовтня 2020 року.
SilentFade обдурив користувачів Facebook із мільйонів
Відповідно, група кіберзлочинців під назвою SilentFade купувала рекламу для зламаних користувачів Facebook із використанням шкідливих програм з кінця 2018 року по лютий 2019 року. Незважаючи на те, що кампанія тривала лише кілька місяців, злочинцям вдалося викрасти у користувачів понад 4 мільйони доларів. SilentFade використовував для атаки комбінацію троянських програм Windows, ін’єкції браузера, сценарії та вразливість на платформі Facebook. Роблячи це, хакери продемонстрували кампанію, яка була настільки складною, що злочинці рідко її бачать.
Легальне програмне забезпечення приховувало троянських програм
На думку експертів, зловмисники розповсюдили сучасну версію шкідливого програмного забезпечення SilentFade. Він постачається із законним програмним забезпеченням і доступний для завантаження в Інтернеті. Як тільки троянець SilentFade потрапив на пристрій Windows користувача, хакери взяли під свій контроль комп’ютер жертви. Тут зловмисне програмне забезпечення замінило законні файли DLL у встановлених браузерах шкідливими копіями, щоб SilentFade міг керувати браузером. Цільові браузери включали Chrome, Firefox, Internet Explorer, Opera, Edge, Orbitum, Amigo, Touch, Kometa та браузер Яндекс.
Шкідливі бібліотеки DLL викрали облікові дані, що зберігаються у браузері, але найголовніше - файли cookie сеансу браузера. Потім SilentFade використовував файли cookie сеансу Facebook, щоб отримати доступ до облікового запису жертви у Facebook без необхідності вводити облікові дані або маркер 2FA. Обліковий запис передано як законний і вже засвідчений власником рахунку. Як тільки злочинці отримали дозвіл на доступ, вони шукали облікові записи, у яких на їх рахунку був спосіб оплати. Хакери використали кошти жертви для реклами від їх імені в соціальній мережі.
Зловмисне програмне забезпечення також використовувало сценарії для відключення багатьох функцій безпеки соціальної мережі. Хакери виявили вразливість системи безпеки на платформі Facebook і скористалися нею. Щоб користувачі не могли дізнатися, що хтось входив до їхнього облікового запису або розміщував оголошення від їх імені, група SilentFade скористалася своїм контролем над браузером для доступу до розділу налаштувань користувача Facebook. У той же час це виключало можливість того, щоб користувачі могли знову активувати деактивовані функції (сповіщення веб-сайтів, тони повідомлень чату, SMS-повідомлення, електронна пошта). Знаючи, що системи безпеки Facebook можуть виявляти підозрілу активність та входити в систему та сповіщати користувача за допомогою приватного повідомлення, хакери також заблокували облікові записи Facebook for Business та Facebook Login Alerts.
Facebook помітив проблему, оскільки багато користувачів повідомляли про підозрілу діяльність та несанкціоновані грошові операції на своїх рахунках.
Facebook: Обліковий запис GitHub призвів до банди злому
«Це було вперше, коли зловмисне програмне забезпечення активно змінювало налаштування сповіщень, блокувало сторінки та використовувало недолік підсистеми блокування, щоб зберегти стійкість у скомпрометованому обліковому записі. Однак, скориставшись цією помилкою сповіщення, стало покажчиком, який допоміг нам ідентифікувати вразливі облікові записи. Нам вдалося виміряти ступінь зараження. Крім того, нам вдалося віднести зловживання, що походять від облікових записів користувачів, до шкідливого програмного забезпечення, яке відповідає за початковий компрометація облікового запису ".
Команда безпеки Facebook дослідила відстежений обліковий запис GitHub, в якому розміщувалось багато бібліотек, що використовуються для створення шкідливого програмного забезпечення SilentFade. Експерти з питань безпеки простежили цей обліковий запис та шкідливе програмне забезпечення SilentFade до ILikeAd Media International Company, гонконгської програмної компанії, заснованої в 2016 році, та до двох її співробітників - Чень Сяо Конга та Хуан Тао. Facebook подав позов проти компанії та двох розробників у грудні 2019 року. Наразі процедура все ще триває.
Після закриття діри в безпеці та активації опцій сповіщення для користувачів, Facebook відшкодував всім постраждалим користувачам гроші, втрачені в результаті атаки.
Антонія є автором у Invisibility з січня 2016 року. Почала з оглядів книг. Зараз вона воліє писати на юридичні теми, такі як справи P2P, але вона також займається іншими темами в Інтернеті, такими як кіберзлочинність. Її інтереси пов’язані в основному з літературою.