Нажмите CTRL-D чтобы добавить нас в закладки
HackZone.RU - SilentFade обманула пользователей Facebook на 4 000 000 долларов
Войти / Регистрация / Участники
Определение даты выпуска iPhone по серийному номеру
-
Поиск по сайту
Форумы



Реклама

Поиск ТОП Добавить публикацию

SilentFade обманула пользователей Facebook на 4 000 000 долларов

03.10.2020

На конференции Virus Bulletin 2020 команда безопасности Facebook раскрыла информацию об одной из наиболее сложных вредоносных операций, с которой ей когда-либо приходилось сталкиваться.

Доклад экспертов был посвящен китайской хак-группе SilentFade и ее активности в период с конца 2018 года по февраль 2019 года. Основной целью этих хакеров, как не трудно догадаться, были пользователи Facebook. Злоумышленники использовали для своих кампаний трояны для Windows, браузерные инъекции, скриптинг и даже уязвимости в платформе Facebook. Задачей взломщиков было заражение пользователей трояном, захват контроля над их браузерами и кража паролей и файлов cookie, чтобы получить доступ к учетным записям жертв в социальной сети.

В первую очередь хакеров интересовали учетные записи, к которым привязан любой возможный способ оплаты. От лица таких аккаунтов SilentFade покупали в Facebook рекламу, разумеется, используя для этого средства жертвы.

Общая схема атаки

Хотя активность группировки продолжалась лишь несколько месяцев, по данным Facebook, за это время мошенникам удалось лишить пользователей более 4 000 000 долларов США, и все эти средства были использованы для размещения вредоносной рекламы.

Такие объявления, как правило, ограничивались географическим регионом зараженного пользователя (чтобы ограничить их доступность и не привлекать лишнего внимания), и все строились по одинаковому шаблону. Так, хакеры использовали короткие URL и изображения знаменитостей, чтобы заманить пользователей на разные мошеннические сайты, торгующие сомнительными товарами, включая средства для похудания, кето-таблетки и многое другое.

Примеры объявлений

Служба безопасности Facebook обратила внимание на SilentFade в феврале 2019 года, когда пользователи стали жаловаться на подозрительную активность и незаконные транзакции, исходящие от их учетных записей.

Проведенное расследование позволило выявить использованную злоумышленниками малварь, предыдущие штаммы вредоносных программ группы, а также кампании, датированные еще 2016 годом. В итоге все это помогло связать подозрительную активность с конкретной китайской компанией и двумя разработчиками.

Согласно информации Facebook, SilentFade начала свою деятельность в 2016 году, когда была разработана малварь под названием SuperCPA, в первую очередь ориентированная на китайских пользователей.

«Об этом вредоносном ПО известно не так много, поскольку оно управлялось загружаемыми файлами конфигурации, но мы полагаем, что оно использовалось для мошенничества с кликами  (CPA в данном случае расшифровывается, как Cost Per Action)», — рассказали специалисты.

Уже в 2017 году  группировка решила отказаться от использования SuperCPA, и тогда появилась первая версия малвари SilentFade. Эта ранняя версия атаковала браузеры и воровала учетные данные от аккаунтов Facebook и Twitter, уделяя особое внимание верифицированным профилям и профилям с большим количеством подписчиков. Однако на простом угоне аккаунтов хакеры не остановились, и SilentFade продолжила развиваться. Фактически, наиболее опасная версия малвари, которая использовалась для атак в последующие годы, появилась в 2018 году.

Исследователи сообщили, что злоумышленники распространяли новую версию SilentFade в связке с  легальным ПО, которое они размещали для загрузки в интернете. Так, однажды эксперты Facebook наткнулись на объявление разработчиков SilentFade, опубликованное на хакерских форумах. Мошенники писали, что готовы покупать трафик взломанных сайтов и других источников, а после покупки перенаправляли его на страницы, где размещался различный софт, зараженный SilentFade.

Хакеры готовы покупать трафик

Если пользователь попадался на уловку мошенников, и малварь проникала в систему, троян SilentFade получал контроль над компьютером жертвы и подменял легитимные файлы DLL браузера вредоносными версиями, которые, в сущности, позволяли операторам SilentFade контролировать браузер жертвы. Так, вредонос способен успешно атаковать Chrome, Firefox, Internet Explorer, Opera, Edge, Orbitum, Amigo, Touch, Kometa и «Яндекс.Браузер».

Затем эти вредоносные DLL использовались для хищения учетных данных, хранящихся в браузере, а также файлов cookie. Хакеры применяли cookie сессий Facebook для получения доступа к учетной записи жертвы, и в итоге им не нужно было ни предоставлять учетные данные, ни токен 2ФА.

Как только доступ к учетной записи пользователя был получен, малварь задействовала скрипты для отключения механизмов безопасности социальной сети. Расследуя происходящее, эксперты Facebook обнаружили уязвимость в собственной платформе, из-за которой пользователи не могли повторно включить деактивированные защитные функции.

Так, чтобы пользователи не узнали, что кто-то скомпрометировал их аккаунт и размещает рекламу от их имени, операторы SilentFade использовали контроль над браузером жертвы для доступа к разделу настроек Facebook и отключали:

  • уведомления сайта;
  • звуки уведомления чата;
  • SMS-уведомления;
  • любые уведомления по электронной почте;
  • уведомления, связанные со страницами.

При этом злоумышленники понимали, что системы безопасности Facebook все равно могут обнаружить подозрительную активность и входы в систему, и сообщить об этом пользователям через личные сообщения. Поэтому хакеры дополнительно блокировали аккаунты  Facebook for usiness и Facebook Login Alerts, от которых могли прийти подобные предупреждения.

Упомянутым багом в Facebook хакеры злоупотребляли каждый раз, когда пользователь пытался разблокировать эти учетные записи, провоцируя ошибку и не позволяя жертве избавиться от этих запретов.

«Мы впервые наблюдали, как вредоносное ПО активно изменяет настройки уведомлений, блокирует страницы и использует ошибку в подсистеме блокировок, чтобы надежно закрепиться в скомпрометированной учетной записи.
Однако использование связанной с уведомлениями ошибки стало даже положительным моментом. Благодаря этому мы обнаружили скомпрометированные учетные записи, смогли оценить масштаб заражений SilentFade и сопоставитьэти данные со злоупотреблениями, исходившими от учетных записей пользователей, связав их с вредоносным ПО, ответственным за первоначальную компрометацию аккаунтов», — говорят исследователи.

В итоге, в 2019 году инженеры Facebook устранили найденный баг, отменили все действия малвари по блокировке уведомлений и возместили ущерб пользователям, чьи учетные записи использовались для покупки вредоносной рекламы.

Но на этом специалисты компании не остановились: в течение всего 2019 года они отслеживали саму малварь и ее создателей по всему интернету. Так, им удалось обнаружить учетную запись на GitHub, где размещалось множество библиотек, которые явно использовались для разработки SilentFade.

Эту учетную запись эксперты связали с гонконгской компанией-разработчиком ILikeAd Media International Company Ltd., созданной в 2016 году, и двумя людьми, которые ее основали — Ченом Сяо Конгом и Хуангом Тао.

В результате, в декабре 2019 года Facebook подала на эту компанию в суд, и разбирательство еще продолжается.

В своем докладе специалисты Facebook подчеркнули, что SilentFade — это лишь часть крупного тренда среди киберпреступников. Оказалось, многие проживающие в Китае хакеры все чаще нацеливаются на социальную сеть и 2 000 000 000 ее пользователей. В частности, Facebook атакует такая мавларь, как Scranos, FacebookRobot и StressPaint.

При копировании материалов ссылка на HackZone.RU обязательна

Добавить страницу в закладки

 Детали
Категория: Прочее
Опубликовал: shellmann
Просмотров: 262
Проголосовало через SMS: 0
  Разместить у себя на сайте
Прямая ссылка
HTML
BBCode ссылка
BBCode ссылка с текстом

 Комментарии (оставить свой комментарий можно здесь)
Только зарегистрированные пользователи могут оставлять комментарии

Зарегистрироваться *** Авторизоваться


 Последние новости и статьи  Последние сообщения с форумов
  • Релиз ядра Linux 5.9
  • Российские хакеры вооружились уязвимостью Zerologon
  • Тысячи приватных звонков американских заключенных оказались в отк...
  • Шифровальщик атаковал немецкую компанию Software AG
  • Злоумышленники используют службу Windows Error Reporting для бесф...
  • Microsoft предупредила о вымогателях, которые выдают себя за МВД ...
  • Инфостилер Valak ворует информацию из почтовых систем Microsoft E...
  • GitLab обнаружил множество уязвимостей в исходном коде проектов с...
  • Хакеры используют службу WER в бесфайловых кибератаках
  • Ботнет HEH способен уничтожить все данные на IoT-девайсах

    Все новости... Все статьи... Прислать новость RSS
  • Взлом и безопасность / WEB сайтов » Re: взлом онлайн теста
  • Разное / Продам, отдам » Re: Продам базы 2ГИС (2gis) в форматах CSV, Excel, SQL
  • Взлом и безопасность / Разное » Re: Нужна помощь в скачивании файла
  • Взлом и безопасность / Разное » Re: Нужна помощь в скачивании файла
  • Взлом и безопасность / Разное » Нужна помощь в скачивании файла
  • Разное / Предложения работы » требуется взлом почт на постоянной основе
  • Разное / Предложения работы » необходим взлом почты
  • Взлом и безопасность / Новичкам » Re: Сборщик емэйлов "обрезает" адреса.
  • Взлом и безопасность / Новичкам » Re: Анализ открытых баз данных ElasticSearch (легкий гайд)
  • Взлом и безопасность / Новичкам » Re: Сборщик емэйлов "обрезает" адреса.

    Все форумы... RSS


  • Разместить рекламу
    © HackZone Ltd. 1996-2020. Все права зарегистрированы.
    Перепечатка материалов без согласования и указания источника будет преследоваться по Закону

    О проекте | История проекта | Размещение рекламы | Обратная связь | Правила поведения на портале
    contador de visitas счетчик посещений

    #{title}

    #{text}

    x

    #{title}

    #{text}