- PUBLICIDADE -
- PUBLICIDADE -
- PUBLICIDADE -
InícioNO BRASIL E NO MUNDOGrupo chinês desviou mais de US$ 4 milhões de anúncios do Facebook

Grupo chinês desviou mais de US$ 4 milhões de anúncios do Facebook


Um grupo de cibercriminosos chineses desviou mais de US$ 4 milhes de contas de publicidade de usurios do Facebook ao longo de quatro anos. A rede social detalhou como funcionavam as operaes do malware SilentFade em um relatrio apresentado esta semana na conferncia Virus Bulletin 2020.

O programa (cujo nome uma abreviao de “Silently running Facebook Ads with Exploits”) sequestrava contas do Facebook e as usava para promover anncios maliciosos, roubar cookies do navegador entre outras aes criminosas. A campanha teria comeado em 2016, mas s foi descoberta em dezembro de 2018 e encerrada em fevereiro do ano seguinte.

“Nossa investigao revelou uma srie de tcnicas interessantes usadas para comprometer as pessoas com o objetivo de cometer fraude publicitria”, disseram os autores do artigo, Sanchit Karve e Jennifer Urgilez. “Os invasores executaram principalmente campanhas publicitrias maliciosas, muitas vezes na forma de publicidade de plulas farmacuticas e spam com falsos endossos de celebridades”.

O que entregou o grupo foi um pico de trfego suspeito em uma srie de endpoints da rede social. Aps uma extensa investigao, o Facebook encerrou a campanha e entrou com uma ao legal contra os cibercriminosos. O SilentFade nunca foi diretamente baixado ou instalado, mas usava uma combinao de cavalo de Tria, injees de navegador, script inteligente e um bug na plataforma do Facebook.

Em vrios casos, o malware ficava “escondido” em cpias piratas de softwares populares. O Facebook disse que encontrou anncios de dois desenvolvedores SilentFade postados em fruns de hackers onde eles estavam dispostos a comprar trfego da web de sites hackeados ou outras fontes, e redirecionou esse trfego para as pginas que hospedavam os pacotes de software infectados com SilentFade.

Facebook/Divulga

Um exemplo de pgina da web que leva ao download de SilentFade. Imagem: Facebook/Reproduo

Uma vez dentro do computador, o programa substitua arquivos DLL legtimos dentro das instalaes do navegador por verses maliciosas da mesma DLL que permitia que os criminosos controlassem o navegador. Assim eles roubavam as credenciais e cookies do Facebook armazenadas em navegadores como o Chrome, Firefox, Internet Explorer, Opera, Edge, Orbitum, Amigo, Touch, Kometa e Yandex.

“Os cookies so mais valiosos do que as senhas porque contm tokens de sesso, que so tokens de ps-autenticao”, disseram os pesquisadores. “Esse uso de credenciais comprometidas corre o risco de encontrar contas protegidas com autenticao de dois fatores, que SilentFade no consegue desviar”.

Com as credenciais, o malware recupera os metadados sobre a conta do Facebook (informaes de pagamento e o valor total anteriormente gasto em anncios na rede) usando a API Graph. Esses dados so ento enviados de volta aos servidores do software malicioso. Para evitar ser encontrado, o SilentFade interrompe automaticamente sua execuo quando detectado e desativa os alertas de notificao do Facebook das contas comprometidas.

Facebook/Reprodu

O SilentFade desativava os alertas de notificao do Facebook para no ser detectado. Imagem: facebook/Reproduo

“Esta foi a primeira vez que observamos um malware alterando ativamente as configuraes de notificao, bloqueando pginas e explorando um bug no subsistema de bloqueio para manter uma conta comprometida”, disseram os pesquisadores do Facebook.

Os invasores ainda usam intencionalmente credenciais roubadas de usurios da mesma cidade ou de uma cidade prxima, para parecer que o proprietrio original da conta viajou dentro de sua cidade. Alm do acesso direto s contas, os cibercriminosos usavam as informaes de cartes de crdito das vtimas para promover seus prprios anncios falsos no Facebook.

Porm, os pesquisadores destacam que “os detalhes das informaes de pagamento (como nmeros de contas bancrias e cartes de crdito) nunca foram expostos aos invasores, pois o Facebook no os torna visveis no site para desktop ou na API Graph”.

O Facebook disse que corrigiu o bug da plataforma, reverteu as aes de bloqueio de notificao do malware e reembolsou todos os usurios cujas contas foram usadas para comprar anncios maliciosos.

Via: ThreatPost/ZDNet





Source link

Notícias Relacionadas
- PUBLICIDADE -

Últimas Notícias

- PUBLICIDADE -