Habituellement quand vous entendre parler d’une activité malveillante sur Facebook, elle est liée à une sorte de sottise géopolitique. Mais jeudi, la société a détaillé une campagne hors de Chine qui n’était pas axée sur la désinformation ou le vol de données de compte. Les pirates ont plutôt volé les informations d’identification des utilisateurs et ont eu accès à leurs comptes dans un autre but: colporter des pilules amaigrissantes, des produits de santé sexuelle et de faux sacs à main, chaussures et lunettes de soleil de créateurs.

Une fois dans le compte d’un utilisateur Facebook compromis, les attaquants utiliseraient le mode de paiement associé pour acheter des publicités malveillantes, drainant finalement 4 millions de dollars des victimes pendant leur frénésie. Facebook a détecté les attaques pour la première fois fin 2018 et après une enquête approfondie, la société a intenté une action civile contre une société, ILikeAd Media International Company Ltd., et deux ressortissants chinois qui auraient développé le logiciel malveillant et lancé les attaques. Aujourd’hui, à la conférence sur la sécurité du Digital Virus Bulletin, les chercheurs de Facebook ont ​​présenté une image détaillée du fonctionnement réel du logiciel malveillant, surnommé SilentFade, et de certaines de ses nouvelles méthodes, notamment le blocage proactif des notifications d’un utilisateur afin que la victime ne sache pas que quelque chose clochait .

« Nous avons découvert SilentFade pour la première fois en décembre 2018, lorsqu’un pic de trafic suspect sur un certain nombre de points de terminaison Facebook a indiqué une possible attaque de compromission de compte basée sur des logiciels malveillants pour fraude publicitaire », a déclaré Sanchit Karve, chercheur en malwares sur Facebook, lors d’un appel avec des journalistes avant sa présentation du bulletin de virus. . « SilentFade volait les identifiants Facebook et les cookies de divers magasins d’identifiants de navigateur. Les comptes ayant accès à un mode de paiement lié seraient ensuite utilisés pour diffuser des publicités sur Facebook. »

Les attaquants ne pouvaient pas accéder aux numéros de carte de crédit réels ou aux détails du compte de paiement à partir de Facebook, mais une fois à l’intérieur d’un compte, ils pouvaient utiliser n’importe quel mode de paiement que Facebook avait dans ses fichiers, le cas échéant, pour acheter des publicités. Facebook a ensuite remboursé un nombre non spécifié d’utilisateurs pour les 4 millions de dollars de frais publicitaires frauduleux.

SilentFade était souvent distribué en le regroupant avec des copies piratées de logiciels de marque; lorsqu’une victime télécharge le programme qu’elle souhaite, son appareil est également infecté par SilentFade. À partir de là, le logiciel malveillant rechercherait des cookies Facebook spéciaux dans Chrome, Firefox et d’autres navigateurs populaires. Ces cookies étaient précieux pour les attaquants, car ils contiennent des «jetons de session» qui sont générés après qu’un utilisateur se connecte avec son nom d’utilisateur, son mot de passe et toutes les entrées d’authentification à deux facteurs requises. Si vous pouvez récupérer un jeton de session, vous obtenez un moyen facile de valser dans le compte Facebook de quelqu’un sans rien d’autre. Si le logiciel malveillant ne pouvait pas trouver les bons cookies, il collecterait directement les informations de connexion Facebook d’un utilisateur, mais il aurait tout de même besoin de les déchiffrer.

Les attaquants configuraient même leurs systèmes pour qu’ils semblent se trouver dans la même région générale que celle où se trouvait la victime lorsqu’ils ont généré leur jeton de session. De cette façon, Facebook penserait que l’activité n’était qu’une connexion normale de la part de l’utilisateur au cours de sa journée et non une activité suspecte d’une région différente.

SilentFade avait également d’autres tactiques sournoises. Il a désactivé de manière proactive les notifications Facebook sur le compte d’une victime afin qu’elle ne soit pas avertie d’une nouvelle connexion ou ne voie pas les alertes ou les messages concernant les campagnes publicitaires exécutées à partir de leurs comptes. Et il a même exploité une vulnérabilité dans les mécanismes de validation de Facebook pour empêcher les utilisateurs de réactiver leurs notifications «Alertes de connexion» et «Pages d’affaires Facebook». Facebook dit qu’il a travaillé rapidement pour corriger le bogue et arrêter cette nouvelle méthode de persistance.

En plus de toutes ces astuces, les attaquants ont également utilisé des techniques d’obscurcissement du côté du réseau publicitaire pour masquer le vrai contenu de leurs publicités en soumettant des documents et des sites Web sources différents pour examen que ce qu’ils ont ensuite inséré dans les publicités diffusées.

écran du téléphone avec des messages et du texte apparaissant au bas du téléphone.

Voici le logiciel malveillant dont vous devriez vous inquiéter

«Ils ont utilisé une variété de mécanismes de dissimulation et de redirection du trafic pour cacher leurs traces», a déclaré Rob Leathern, directeur de la gestion des produits de Facebook. « Ces techniques de camouflage sont celles qui camouflent le véritable site Web de la page de destination en les modifiant de manière dynamique pendant et après le processus d’examen des annonces afin de montrer aux utilisateurs différents sites par rapport à notre processus d’examen des annonces. Le contenu des annonces présentait souvent des célébrités comme une tactique pour attirer l’attention. En interne, c’est quelque chose que nous appelons « celeb-bait », et c’est un problème qui préoccupe l’industrie de la publicité en ligne depuis plus d’une décennie. « 

LAISSER UN COMMENTAIRE

Rédigez votre commentaire !
Entrez votre nom ici