Čínsky gang škodlivého softvéru SilentFade zoskupuje používateľov Facebooku
Na priemyselnej konferencii zdieľal bezpečnostný tím Facebooku podrobnosti o podvode s malvérom skupiny SilentFade na svojej platforme.
Čínski hackeri, skupina SilentFade Group, použili trójskeho koňa Windows, injekcie do prehliadača, šikovné skripty a chybu platformy Facebook na nákup a zverejnenie reklám na Facebooku týkajúcich sa tabletiek na chudnutie, falošných dizajnérskych kabeliek a ďalších vecí pre hacknutých používateľov. Hackeri utratili za obete peniaze v hodnote 4 miliónov dolárov, uvádza zdnet.
Na bezpečnostnej konferencii Virus Bulletin 2020 členovia bezpečnostného tímu Facebooku odhalili podrobnosti o jednej z najpokročilejších malvérových kampaní, aké sa kedy pre používateľov Facebooku uskutočnili. Konferencia priťahuje technické i cieľové skupiny z oblasti bezpečnosti a ďalších odvetví. Poskytuje dôležité informácie o najnovších výsledkoch výskumu, trendoch a vývoji vo všetkých aspektoch bezpečnosti IT. Konferencia sa uskutočnila prakticky prvýkrát od 30. septembra do 2. októbra 2020.
SilentFade oklamal používateľov Facebooku z miliónov
V súlade s tým kúpila skupina hackerov s počítačovým zločincom s názvom SilentFade od konca roku 2018 do februára 2019 reklamy na hacknutých používateľov Facebooku pomocou malvéru. Napriek tomu, že kampaň trvala iba pár mesiacov, zločincom sa podarilo ukradnúť používateľom viac ako 4 milióny dolárov. Aplikácia SilentFade na útok použila kombináciu trójskych koní systému Windows, injekcií do prehliadača, skriptov a zraniteľnosti platformy Facebook. Hackeri pri tom demonštrovali kampaň, ktorá bola tak sofistikovaná, že ju zločinci zriedka videli.
Legitímny softvér skryl trójske kone
Podľa expertov zločinci distribuovali modernú verziu malvéru SilentFade. Tento balík je dodávaný s legitímnym softvérom a je k dispozícii na stiahnutie na internete. Hneď ako trójsky kôň SilentFade narazil na zariadenie Windows používateľa, hackeri prevzali kontrolu nad počítačom obete. Tu malvér nahradil legitímne súbory DLL v inštaláciách prehľadávača škodlivými kópiami, aby mohol prehliadač ovládať program SilentFade. Zahrnuté cieľové prehliadače Chrome, Firefox, Internet Explorer, Opera, Edge, Orbitum, Amigo, Touch, Kometa a prehliadač Yandex.
Škodlivé knižnice DLL ukradli poverenia uložené v prehliadači, ale čo je najdôležitejšie, súbory cookie relácie prehliadača. Aplikácia SilentFade potom pomocou súboru cookie relácie Facebook získala prístup k účtu Facebook obete bez potreby poskytnutia poverení alebo tokenu 2FA. Účet bol odovzdaný ako legitímny a už overený držiteľ účtu. Hneď ako zločinci dostali povolenie na prístup, vyhľadali účty, ktoré mali na účte platobný spôsob. Hackeri použili prostriedky obete na reklamu v ich mene na sociálnej sieti.
Malvér tiež používal skripty na deaktiváciu mnohých bezpečnostných funkcií sociálnej siete. Hackeri odhalili bezpečnostnú chybu na platforme Facebook a využili ju. Aby zabránila používateľom zistiť, že niekto získal prístup k ich účtu alebo zverejnil reklamy v ich mene, skupina SilentFade využila ich kontrolu nad prehliadačom na prístup do sekcie nastavení používateľa na Facebooku. To zároveň vylúčilo, že by používatelia mohli znovu aktivovať deaktivované funkcie (upozornenia na stránky, tóny upozornení na chat, SMS upozornenia, e-mail). Hackeri vedeli, že bezpečnostné systémy Facebooku môžu zistiť podozrivú aktivitu a prihlásenia a upozorniť používateľa prostredníctvom súkromnej správy, a preto tiež zablokovali účty Facebook for Business a Facebook Login Alerts.
Facebook si všimol problém, pretože mnoho používateľov nahlásilo podozrivú aktivitu a neoprávnené peňažné transakcie na svojich účtoch.
Facebook: Účet GitHub viedol k hackerskému gangu
„Bolo to prvýkrát, čo malware aktívne zmenil nastavenie upozornení, zablokoval stránky a využil chybu v blokujúcom subsystéme na udržanie vytrvalosti v napadnutom účte. Využitie výhody tejto chyby s oznámením sa však stalo smerovníkom, ktorý nám pomohol identifikovať zraniteľné účty. Boli sme schopní zmerať rozsah infekcií. Ďalej sme mohli pripísať zneužitie pochádzajúce z používateľských účtov malwaru, ktorý je zodpovedný za prvotné zneužitie účtu. ““
Bezpečnostný tím Facebooku preskúmal sledovaný účet GitHub, ktorý hostil mnoho knižníc použitých na vytvorenie škodlivého softvéru SilentFade. Bezpečnostní experti sledovali tento účet a malvér SilentFade u ILikeAd Media International Company, hongkonskej softvérovej spoločnosti založenej v roku 2016, a u dvoch z jej zamestnancov, Chen Xiao Kong a Huang Tao. Facebook v decembri 2019 žaloval spoločnosť a dvoch vývojárov. Procedúra v súčasnosti stále prebieha.
Po uzavretí bezpečnostnej diery a aktivácii možností upozornení pre používateľov spoločnosť Facebook vrátila všetkým dotknutým používateľom peniaze stratené v dôsledku útoku.
Antonia je autorkou časopisu Neviditeľnosť od januára 2016. Začala recenziami na knihy. Teraz radšej píše o právnych témach, ako sú prípady P2P, venuje sa však aj iným internetovým témam, ako je počítačová kriminalita. Jej záujmy sa týkajú hlavne literatúry.