Vietnamsky hovoriaci hackeri používajú falošné rozšírenia prehliadača na krádež Facebook Business a Ads účtov. Spoločnosť Bitdefender objavila dve kampane propagujúce rozšírenie obsahujúce malware s názvom SocialMetrics Pro prostredníctvom zavádzajúcich reklám a tutoriálov. Malware získava údaje o reláciách pre Telegram boty, čo umožňuje krádež účtov a ich ďalší predaj na účely malvertisingu.
Vietnamskí hackeri sa opäť zameriavajú na Facebook Business a Ads účty ľudí, tentoraz prostredníctvom falošných rozšírení prehliadača.
Začiatkom tohto týždňa bezpečnostní výskumníci zo spoločnosti Bitdefender spozorovali dve samostatné kampane, ktoré pomocou falošných webových stránok a malvertisingu propagujú rozšírenie sľubujúce modrý overovací odznak pre Facebook a Instagram účty.
Rozšírenie sa nazýva SocialMetrics Pro a propaguje sa prostredníctvom najmenej 37 reklám.
Tieto reklamy vedú na webové stránky, ktoré nielenže šíria malware, ale prichádzajú aj s video tutoriálom, ktorý prevedie obete procesom overenia na Facebooku a Instagrame.
Samotný malware je hostovaný na Boxe – legitímnom poskytovateľovi cloudových úložných služieb.
Po nainštalovaní malware získa IP adresu obete a Facebook session cookies a prepošle ich Telegram botovi. Niektoré varianty boli tiež pozorované pri interakcii s Facebook Graph API, pričom získavali viac informácií o cieľových účtoch.
Spoločnosť Bitdefender sa domnieva, že aktéri hrozby predávajú prístup k týmto účtom na undergroundových fórach za účelom zisku.
Zvyčajne zločinci používajú tieto účty na propagáciu svojich vlastných škodlivých kampaní. Na distribúciu malwaru čo najväčšiemu počtu ľudí sa ho hackeri niekedy snažia inzerovať na Facebooku.
Keďže sa však spoločnosť Meta zapája do prísneho overovania, zaregistrovať sa a nastaviť malvertisingovú kampaň len tak, je prakticky nemožné. Namiesto toho aktéri hrozby kradnú už overené firemné účty s čistou históriou reklám a zneužívajú ich na svoje útoky.
Výskumníci zo spoločnosti Bitdefender sa domnievajú, že ide o prácu vietnamsky hovoriaceho aktéra hrozby z dôvodu okrem iného vietnamského jazyka v návodných videách zverejnených na škodlivých stránkach.
„Používaním dôveryhodnej platformy môžu útočníci hromadne generovať odkazy, automaticky ich vkladať do tutoriálov a neustále obnovovať svoje kampane,“ uviedla spoločnosť Bitdefender. „To zodpovedá rozsiahlejšiemu modelu útočníkov industrializujúcich malvertising, kde sa hromadne vytvára všetko od reklamných obrázkov až po tutoriály.“
