Sposób na reklamę. Hakerzy „buszują” w social mediach

2 października 2020, 15:00
800px-Types_of_Social_Media
Fot. Today Testing/Wikimedia Commons/CC 4.0

Witryny reklamowe w ramach platform społecznościowych są „kopalnią złota” dla hakerów – wskazują specjaliści Facebooka, którzy przedstawili szczegóły na temat kampanii prowadzonej przez chińskich cyberprzestępców. Oszustwa internetowe będą stawały się coraz groźniejsze wraz ze wzrostem popularności social mediów. 

Specjaliści Facebooka w raporcie „Silentfade: Unveiling a Malware Ecosystem that Targeted the Facebook Ad Platform” omówili rodzinę złośliwego oprogramowania nazwaną „SilentFade”, co jest nawiązaniem do charakteru wirusa. Hakerzy zamieszczali go w reklamach pojawiających się na Facebooku, działając tym samym „po cichu”. Głównie były to oferty tabletek odchudzających oraz inne podróbki popularnych produktów. W ten sposób cyberprzestępcy mieli dopuścić się oszustwa na łączną sumę 4 mln dolarów.

Jak wynika z raportu, w niektórych przypadkach hakerzy blokowali powiadomienia o podejrzanej aktywności na kontach użytkowników, przez co wiele osób nie było świadomych tego, że stali się celem cyberataku.

„Facebook po raz pierwszy wykrył SilentFade pod koniec 2018 roku” – stwierdzili specjaliści. Po identyfikacji działań cyberprzestępców gigant mediów społecznościowych stanowczo zareagował, podejmując niezbędne czynności na rzecz poprawy bezpieczeństwa platformy.

Podczas analizy kampanii specjaliści odkryli sieć innych rodzajów złośliwego oprogramowania, która jest powiązane z SilentFade. Zdaniem ekspertów cyberprzestępcy posługujący się wspomnianą grupą wirusów rozpoczęli działalność na początku 2016 roku. W raporcie podkreślono, że od tego czasu hakerzy regularnie rozwijają swoje zdolności oraz narzędzia, aby skutecznie wykorzystywać nowe funkcje wprowadzane przez platformy mediów społecznościowych. Kampania była wymierzona  nie tylko w użytkowników Facebooka, ale także Twittera oraz Amazona.

„SilentFade nie było pobierane ani instalowane za pomocą Facebooka ani żadnego z jego produktów” – tłumaczą specjaliści w raporcie. Złośliwe oprogramowanie było rozpowszechniane za pośrednictwem popularnych przeglądarek internetowych, co znacząco utrudniało jego wykrycie.

Po zainstalowaniu wirus wykradał dane logowania np. do Facebooka oraz pliki cookie. Następnie pozyskane informacje dotyczące konta na platformie przesyłano na zewnętrzne serwery, gdzie były zapisywane. Hakerzy archiwizowali również adres IP ofiary, aby posiadać jej geolokalizację.

„Opierając się na przeglądzie danych zebranych przez SilentFade, hakerzy włamywali się na konta użytkowników, których profile były połączone z określoną metodą płatności online” – wskazano w raporcie. Wówczas cyberprzestępcy mogli użyć skradzionych danych oraz wykorzystać dostęp do określonego konta i urządzenia w celu stworzenia fikcyjnej reklamy na portalu społecznościowym, takim jak Facebook.

W przypadku braku powiązania konta z płatnością internetową hakerzy wykorzystywali zgromadzone informacje, w tym dane kart kredytowych, do tworzenia fałszywych witryn i zamieszczania reklam w social mediach.

„Pliki cookie są cenniejsze niż hasła” – wskazują specjaliści, tłumacząc, że kradzież haseł jest dużo bardziej skomplikowana, ponieważ, aby uzyskać do nich dostęp, często należy złamać poświadczenia. W wielu przypadkach użytkownicy stosują również metodę uwierzytelniania dwuskładnikowego, co znacznie utrudnia działanie hakerom.

Oprócz kradzieży danych logowania SilentFade umożliwiał hakerom wysyłanie na zewnętrzne serwery metadanych dotyczących profilu ofiary w social mediach. „W przypadku Twittera obejmowało to takie informacje jak domyślne ustawienia, język czy całkowitą liczbę obserwujących” – podkreślają eksperci. – „W przypadku kont na Facebooku cyberprzestępcy byli zainteresowani łączną liczbą znajomych, powiązanymi sposobami płatności internetowej (dane kart kredytowych lub konta PayPal) oraz informacjami na temat potencjalnych stron na Facebooku, zarządzanych przez ofiarę”. Specjaliści stwierdzili, że wirus SilentFade jest zaangażowany w kampanię oszustw reklamowych w social mediach, którą można zaobserwować nawet obecnie.

Szczegółowa analiza potwierdziła, że za kampanię odpowiadają chińscy hakerzy. „Chiński ekosystem hakerów pojawił się po raz pierwszy w kwietniu 2016 roku” – czytamy w raporcie. Wówczas cyberprzestępcy wykorzystywali złośliwe oprogramowanie „SuperCPAProject” do oszustw internetowych. Z czasem ich sposób działania ewoluował.

W 2018 roku Facebook wykrył złośliwą aktywność i powiązał ją z chińskimi hakerami. Od tego momentu nastąpiło wygaszenie ich działalności, jednak do pewnego momentu. Zdaniem specjalistów cyberprzestępcy wznowili kampanię na początku 2019 roku, wykorzystując nowe oprogramowanie –„Scranos” i „FacebookRobot”. Wirusy po raz pierwszy pojawiły się odpowiednio w kwietniu i czerwcu zeszłego roku.

Giganci mediów społecznościowych od lat muszą zmagać się z operacjami hakerskimi bazującymi na fałszywych kampaniach reklamowych, nakłaniających użytkowników do klikania w zainfekowane linki. Udostępniona analiza stanowi sygnał ostrzegawczy dla wszystkich użytkowników mediów społecznościowych. Pomimo zdemaskowania operacji rok temu, cyberprzestępcy nie zrezygnowali ze swoich działań, wręcz przeciwnie – ich metody oraz narzędzia nieustannie ewoluują, stanowiąc poważne zagrożenie dla osób aktywnych w social mediach.

„Spodziewamy się, że w platformy obsługujące rosnącą liczbę użytkowników staną się ofiarami złośliwego oprogramowania specyficznego dla określonej platformy, czego dowodzi ewoluujący ekosystem hakerów atakujących Facebooka” – wskazują Sanchit Karve i Jennifer Urgilez.

Do sprawy odniósł się również dyrektor ds. cyberbezpieczeństwa Facebooka Nathaniel Gleicher, którego stanowisko przytacza serwis CyberScoop. „Ten rodzaj złośliwego oprogramowania dotyczy każdej platformy” – podkreślił przedstawiciel giganta mediów społecznościowych. Dodał, że w momencie, gdy urządzenia zostaną naruszone przez wirusa pobranego za pomocą przeglądarki internetowej, zdolność do wykrycia cyberataku może być ograniczona.

„Raport podkreśla jak cenne są witryny reklamowe w social mediach z punktu widzenia cyberprzestępców” – zaznaczył dla CyberScoop Satnam Narang, specjalista firmy Tenable. Jego zdaniem kampanie oszustw reklamowych pozwalają hakerom na wycelowanie operacji w określoną grupę użytkowników podatną na dane treści, co zwiększa skuteczność prowadzonych działań.

Satnam Narang wskazał, że w miarę jak platformy mediów społecznościowych są coraz lepsze w wykrywaniu fałszywych kont, hakerzy musieli zrezygnować ze swojej dotychczasowej taktyki. „Odkryli, że wykorzystywanie zainfekowanych kont do oszustw zapewnia im większą ochronę przed wykryciem” – wyjaśnił specjalista Tenable.

KomentarzeLiczba komentarzy: 0
No results found.
Tweets CyberDefence24