0
0
O Facebook compartilhou detalhes sobre uma longa campanha de fraude de anúncios que está em andamento desde 2016, tendo como alvo usuários do Facebook com malware SilentFade.
O Facebook detalhou um ataque cibernético de fraude de anúncios que está em andamento desde 2016, os bandidos estão usando um malware rastreado como SilentFade (abreviação de “Silently running Facebook Ads with Exploits”) para roubar credenciais do Facebook e cookies do navegador.
A gigante da rede social revelou que o malware tem uma origem chinesa e permitiu que hackers sifonassem US$ 4 milhões das contas de publicidade dos usuários.
Os atores de ameaças inicialmente comprometeram contas do Facebook, depois as usaram para roubar cookies de navegador e realizar atividades maliciosas, incluindo a promoção de anúncios maliciosos.
O Facebook viu a campanha em dezembro de 2018 quando notou um aumento no tráfego suspeito em vários pontos finais do Facebook.
“Nossa investigação descobriu uma série de técnicas interessantes usadas para comprometer as pessoas com o objetivo de cometer fraude de anúncios. Os atacantes fizeram principalmente campanhas publicitárias maliciosas, muitas vezes sob a forma de anunciar pílulas farmacêuticas e spam com falsos endossamentos de celebridades.” explicou esta semana os pesquisadores do Facebook Sanchit Karve e Jennifer Urgilez em uma palestra na conferência Virus Bulletin 2020.
O Facebook confirmou que o vetor de ataque inicial não é sua plataforma, na verdade, o SilentFade não estava se espalhando via Facebook ou seus produtos. Os especialistas notaram que ele geralmente era empacotado com programas potencialmente indesejados (PUPs).
Uma vez instalado, o SilentFade permite que os invasores roubem apenas credenciais e cookies armazenados específicos do Facebook dos principais navegadores, incluindo Internet Explorer, Chromium e Firefox.
“No entanto, ao contrário dos outros, o componente de roubo de credenciais da SilentFade só recuperou credenciais e cookies armazenados específicos do Facebook localizados na máquina comprometida”, lê o artigo publicado pelos especialistas.
“Os cookies são mais valiosos do que senhas porque contêm tokens de sessão, que são tokens pós-autenticação. Esse uso de credenciais comprometidas corre o risco de encontrar contas protegidas com autenticação de dois fatores, que o SilentFade não pode contornar.”
Especialistas explicaram que todos os navegadores baseados em Chromium e Firefox armazenam credenciais e cookies em bancos de dados SQLite. Um malware executado em um ponto final infectado pode acessar a loja de cookies se tiver o conhecimento de sua localização nos vários navegadores.
O malware é composto de três a quatro componentes, seu principal componente de downloader está incluído em pacotes PUP.
“O aplicativo downloader baixa um componente de malware autônomo ou um serviço windows instalado como ‘AdService’ ou ‘HNService’. O serviço é responsável pela persistência entre as reinicializações e pela queda de DLLs de versão de 32 bits e 64 bits no diretório de aplicativos do Chrome.” continua o documento.
“O DLL proxies todos fazem solicitações ao winhttp.dll real, mas faz pedidos para facebook.com através do processo Chrome, evitando a detecção dinâmica de anti-malware baseada em comportamento imitando solicitações de rede inócuas.”
Ao roubar credenciais relacionadas ao Facebook, o SilentFade recupera os metadados da conta do Facebook (ou seja, informações de pagamento e o valor total gasto anteriormente em anúncios do Facebook) usando a API do Gráfico do Facebook.
O malware envia os dados para os servidores C2 na forma de uma bolha JSON criptografada através de cabeçalhos HTTP personalizados.
O SilentFade implementa várias técnicas de evasão, é capaz de detectar máquinas virtuais e desativar alertas de notificação do Facebook de contas comprometidas.
O servidor C2 armazenava os dados recebidos do nó infectado e registrava o endereço IP da solicitação recebida para fins de geolocalização.
A geolocalização é crucial no esquema fraudulento implementado pelos bandidos porque os invasores usaram intencionalmente as credenciais roubadas nas proximidades da cidade da máquina infectada.
Contas do Facebook com cartões de crédito associados foram usadas para promover anúncios maliciosos no Facebook.
Especialistas do Facebook apontaram que dados financeiros, como números de contas bancárias e cartões de crédito, nunca foram expostos aos invasores porque o Facebook não os torna visíveis através do site de desktop ou da API Graph.
Os especialistas também descobriram outras campanhas chinesas de malware, algumas das quais ainda estão em andamento. Os atores de ameaças empregaram vários códigos maliciosos apelidados de StressPaint, FacebookRobot e Scranos.
“Prevemos que mais malware específico da plataforma apareça para plataformas que atendem a grandes e crescentes públicos, como demonstra o ecossistema em evolução voltado para o Facebook”, conclui o Facebook. “Somente através da educação do usuário e de fortes parcerias em todo o setor de segurança, mediremos a escala de campanhas maliciosas e responderemos efetivamente a elas.”
FONTE: SECURITY AFFAIRS