Як китайська банда зловмисників ошукала користувачів Facebook на 4 мільйони доларів

Біля Конференція з безпеки Virus Bulletin 2020 сьогодні члени групи безпеки Facebook розкрили більше деталей про одну з найскладніших операцій зловмисного програмного забезпечення, яка коли-небудь була націлена на користувачів Facebook.

Всередині Facebook відомий як SilentFade, ця група зловмисників була активна з кінця 2018 року до лютого 2019 року, коли команда безпеки Facebook виявила їх присутність і втрутилася, щоб зупинити їхні атаки.

SilentFade використовував комбінацію трояна Windows, ін’єкцій браузера, розумних сценаріїв і помилки в Платформа Facebook, що демонструє витончений спосіб дії, який рідко можна побачити у банд зловмисного програмного забезпечення, націлених на Facebook платформа.

Метою операцій SilentFade було зараження користувачів трояном, викрадення браузерів користувачів і викрадення паролів і файлів cookie браузера, щоб вони могли отримати доступ до облікових записів Facebook.

Отримавши доступ, група шукала облікові записи, які мали будь-який спосіб оплати, прикріплений до їх профілю. Для цих акаунтів SilentFade купив рекламу у Facebook за кошти жертви.

Незважаючи на те, що група діяла лише кілька місяців, Facebook заявила, що групі вдалося виманити заражених користувачів на понад 4 мільйони доларів, які вони використали для розміщення шкідливих оголошень Facebook у соціальній мережі.

Оголошення, які зазвичай з'являлися в географічному розташуванні зараженого користувача, щоб обмежити його вплив, використовували подібний шаблон.

Вони використовували скорочення URL-адрес і зображення знаменитостей, щоб заманити користувачів на сайти, що продають тіньові продукти, такі як продукти для схуднення, кето-таблетки тощо.

Facebook виявив діяльність SilentFade у лютому 2019 року після повідомлень користувачів про підозрілу діяльність і незаконні транзакції, що відбуваються з їхніх акаунтів.

Під час подальшого розслідування Facebook заявив, що виявив шкідливе програмне забезпечення групи, попередні штами шкідливого програмного забезпечення та кампанії, починаючи з 2016 року, і навіть відстежили операції банди до китайської компанії та двох розробники, яку компанія подала до суду в грудні 2019 року.

Початок SilentFade

За даними Facebook, банда SilentFade почала діяти в 2016 році, коли вперше розробила різновид шкідливого програмного забезпечення під назвою SuperCPA, орієнтоване в основному на китайських користувачів.

«Про це зловмисне програмне забезпечення відомо небагато, оскільки воно в основному керується завантаженими конфігураційними файлами, але ми вважаємо, що воно використовувалося для шахрайства з кліками – отже, CPA в цей випадок стосується ціни за дію – через базу встановлення жертви в Китаї", – написали Санчіт Карве та Дженніфер Ургілез із Facebook у своєму SilentFade звіт.

Але Facebook каже, що група відмовилася від шкідливого програмного забезпечення SuperCPA в 2017 році, коли вони розробили першу ітерацію шкідливого програмного забезпечення SilentFade. Ця рання версія інфікувала браузери, щоб викрасти облікові дані для облікових записів Facebook і Twitter, зосереджуючись на перевірених профілях і профілях з великою кількістю підписників.

Але розвиток SilentFade пожвавився у 2018 році, коли з’явилася його найнебезпечніша версія та та, яка використовувалася під час атак 2018 та 2019 років.

Як SilentFade поширився в Інтернеті

Карве та Ургілез кажуть, що банда поширювала сучасну версію SilentFade, поєднуючи її з легальним програмним забезпеченням, яке вони пропонували для завантаження в Інтернеті. Facebook заявив, що знайшов рекламу двох розробників SilentFade, розміщену на хакерських форумах, де вони були готові купити веб-трафік зі зламаних сайтів або інших джерел, і цей трафік перенаправляти на сторінки, на яких розміщено програмне забезпечення, заражене SilentFade пучки.

Після зараження користувачів троян SilentFade переймав контроль над комп’ютером Windows жертви, але замість того, щоб зловживати системою для більш настирливих операцій, він лише замінив законні DLL-файли в інсталяціях браузера на шкідливі версії тієї самої DLL, яка дозволила банді SilentFade контролювати браузер.

Цільові браузери включали Chrome, Firefox, Internet Explorer, Opera, Edge, Orbitum, Amigo, Touch, Kometa та Яндекс.

Шкідливі DLL-файли викрали облікові дані, що зберігаються в браузері, але, що більш важливо, файли cookie сеансу браузера.

Потім SilentFade використовував сеансовий файл cookie Facebook, щоб отримати доступ до облікового запису жертви у Facebook без необхідності не надавати ані облікових даних, ані маркера 2FA, видаючи себе за законного та вже автентифікованого власника облікового запису.

Помилка платформи Facebook

Ось де SilentFade продемонстрував свою справжню витонченість.

У Facebook заявили, що зловмисне програмне забезпечення використовувало хитрий сценарій, щоб відключити багато функцій безпеки соціальної мережі, і навіть виявив і використав помилку на своїй платформі, щоб перешкодити користувачам повторно ввімкнути вимкнені функції.

Карве та Ургілез сказали, що для того, щоб користувачі не дізналися, що хтось міг отримати доступ до їх облікового запису або публікувати реклами від свого імені, група SilentFade використовувала свій контроль над браузером для доступу до розділу налаштувань користувача Facebook і відключити:

• Сповіщення сайту
• Звуки сповіщень чату
• СМС сповіщення
• Сповіщення електронною поштою будь-якого типу
• Сповіщення, пов’язані зі сторінкою.

Але SilentFade не зупинився на цьому. Знаючи, що системи безпеки Facebook можуть виявляти підозрілу активність і логіни та повідомляти користувача через приватне повідомлення, група SilentFade також заблокувала Facebook для бізнесу і Сповіщення про вхід у Facebook облікові записи, які надіслали ці особисті повідомлення в першу чергу.

Потім група SilentFade шукала помилку на платформі Facebook і зловживала нею кожного разу, коли користувач намагався розблокувати облікові записи, викликавши помилку та завадивши користувачам видалити два облікові записи заборони.

«Це був перший раз, коли ми спостерігали, як зловмисне програмне забезпечення активно змінює налаштування сповіщень, блокує сторінки та використання помилки в підсистемі блокування для підтримки постійності в зламаному обліковому записі", Facebook сказав.

«Однак використання цієї помилки, пов’язаної зі сповіщеннями, стало перевагою, яка допомогла нам виявити скомпрометовані облікові записи, виміряти масштаб зараження SilentFade і зіставлення зловживань, що походять від облікових записів користувачів, на зловмисне програмне забезпечення, відповідальне за початковий обліковий запис компроміс».

Facebook повернув гроші всім користувачам

У Facebook заявили, що виправили помилку платформи, скасували дії зловмисного програмного забезпечення щодо блокування сповіщень і повернули кошти всім користувачам, чиї облікові записи були зловживані для покупки зловмисної реклами Facebook.

Компанія також не зупинилася на цьому, і протягом 2019 року відстежувала зловмисне програмне забезпечення та його творців по всій мережі. Підказки були знайдені в обліковому записі GitHub, який, очевидно, містив багато бібліотек, які використовувалися для створення шкідливого ПЗ SilentFade.

Facebook відстежив цей обліковий запис і зловмисне програмне забезпечення SilentFade ILikeAd Media International Company Ltd., засновану в 2016 році гонконзьку програмну компанію, а також двох чоловіків, які стоять за нею, Чень Сяо Конг і Хуан Тао. У грудні 2019 року Facebook подав до суду на компанію та двох розробників у судовій справі, яка все ще триває.

У Facebook також заявили, що SilentFade є частиною більшої тенденції та нового покоління учасників кіберзлочинності які, здається, проживають у Китаї та наполегливо націлені на його платформу та її соковиті 2 мільярди база користувачів.

Це також включає лайки Скранос, FacebookRobot, і StressPaint.