SilentFade крадет учетные данные и информацию о расходах на рекламу и продает эту информацию другим злоумышленникам. Группа вернулась с улучшенным вредоносным ПО после первоначальных усилий Facebook по смягчению последствий.
Facebook - это магнит для мошенников, воров и других злоумышленников, стремящихся обмануть и манипулировать огромным кругом пользователей гиганта социальных сетей. Одна группа, обнаруженная собственными исследователями Facebook, применила такой изощренный подход к обману пользователей Facebook, что ушла с 4 миллионами долларов в сложной схеме рекламного мошенничества, которая не была обнаружена ее жертвами.
Сачит Карве, выступая как от имени себя, так и от своего коллеги по исследованию безопасности Facebook Дженнифер Ургилез, подробно рассказал об этой схеме на конференции VB 2021 на прошлой неделе. Инсайдеры Facebook назвали эту группу SilentFade и обнаружили, что она пришла из экосистемы китайских вредоносных программ, которая использовала различные типы вредоносных программ в своих киберпреступлениях.
Facebook обнаружил семейство вредоносных программ ближе к концу 2018 года, но проследил его происхождение до 2016 года. SilentFade уделяет большое внимание целям в социальных сетях. «SilentFade интересен нам, поскольку он явно нацелен на пользователей социальных сетей и, в последнее время, сервисов с социальными компонентами, таких как Amazon», - сказал Карве.
Название SilentFade происходит от «Сайлент LY работает Facebook объявление с эксплоитами» «Вредоносная программа способна запускать рекламу на Facebook без ведома пользователя, используя ошибку на платформе», - сказал Карве на конференции.
Facebook впервые заметил, что что-то не так, когда 22 декабря 2018 года трафик на платформе резко увеличился. Изучив журналы трафика, исследователи обнаружили, что какое-то неизвестное вредоносное ПО крало файлы cookie и учетные данные Facebook и использовало уязвимость, чтобы оставаться скрытым от скомпрометированных пользователей.
Как работает SilentFade
С точки зрения функциональности SilentFade удобен и сложен. Он крадет учетные данные Facebook в виде сохраненных паролей и файлов cookie, хранящихся в браузерах, и воссоздает основную информацию профиля, такую как количество друзей скомпрометированного пользователя, любые старые страницы в профиле пользователя и сумму денег, которую пользователь оставил потратить. запуск рекламы в Facebook. Затем он проверяет, есть ли у пользователя действующая кредитная карта или учетная запись PayPal, связанная с его учетной записью Facebook.
По словам Карве, как и многие кражи информации, SilentFade читает файл кэша данных входа, который браузеры на основе Chromium используют для чтения сохраненных паролей. SilentFade также собирает файлы cookie сеанса, которые, по сути, представляют собой токены, выпущенные после аутентификации, что позволяет вредоносной программе обходить многофакторную аутентификацию, поскольку у нее уже есть токен, выданный после успешного входа в систему. Затем вредоносная программа может успешно отправлять запросы в Facebook как аутентифицированный пользователь.
Одним из ключей к тому, как работает вредоносная программа, является то, что она получает доступ к GraphAPI Facebook. Это достигается путем перехвата токена доступа к менеджеру рекламы в HTML-ответе страницы Facebook Ads Manager. После извлечения токена SilentFade может получить список всех способов оплаты, связанных с учетной записью, информацию о связанных кредитных картах (но без номеров кредитных карт) и баланс в рекламной учетной записи Facebook.
Набор специфичных для Facebook двоичных файлов сводит к минимуму вероятность того, что пользователи обнаружат SilentFade, ограничивая все уведомления от Facebook, будь то через SMS, электронную почту или push-уведомления. SilentFade может даже отключить звуковые уведомления, чтобы ничего не слышать.
«Авторы вредоносного ПО потратили много времени на настройку параметров Facebook, чтобы найти уязвимость, которой они воспользовались и воспользовались возможностью для ее эксплуатации», - сказал Карве. Как следствие, пользователи не уведомляются о подозрительном входе в систему или активности, даже если система безопасности Facebook обнаруживает ненормальное поведение.
Пользователи не могут разблокировать настройки уведомлений, с которыми работает SilentFade, а заблокированные страницы, используемые в процессе уведомления, остаются в необратимом состоянии. Чтобы исправить эти проблемы, Facebook добавил проверки достоверности, чтобы убедиться, что все блоки являются обратимыми, и предпринял ряд других действий, таких как принудительный сброс паролей для затронутых пользователей, завершение всех активных сеансов пользователей, затронутых эксплойтом, и создание предупреждений о входе в систему и бизнеса. страницы разблокируются.
Использование теневой экономики рекламы
«Как только SilentFade заражает систему, он буквально использует сеансы и токены доступа для получения информации об учетной записи и ссылки на способы оплаты. Затем они экспортируются на серверы [управления и контроля SilentFade] и, возможно, продаются на подпольном рынке тому, кто предложит самую высокую цену в зависимости от стоимости аккаунта», - сказал Карве.
Как только успешные подпольные покупатели могут войти в свои учетные записи, используя те же законные сеансы, которые они продали, они могут затем создать рекламу, обычно для товаров низкого уровня, таких как поддельные солнцезащитные очки, при этом используя рекламные платежи жертвы для оплаты этого. Они также используют поддельные одобрения знаменитостей на таблетки для похудения и продают таблетки для улучшения мужских качеств.
Однако изысканность на этом не заканчивается. Даже реклама, которую размещают мошенники, прилагает все усилия, чтобы скрыть свои действия. Например, если реклама нацелена на пользователей в Австралии, она будет перенаправлять пользователей на мошенническую страницу только в том случае, если IP-адрес переходит в Австралию, чтобы избежать каких-либо подозрений.
Аналогичным образом, если реклама нацелена на мобильные устройства, перенаправляются только мобильные устройства. Точно так же щелчок должен исходить из Facebook, чтобы увидеть мошенническую страницу. Даже изображения в рекламе часто искажаются, чтобы сбить с толку классификаторы изображений.
Пользователи могут с трудом выбраться из цикла мошенничества с рекламой, потому что некоторые страницы мошенничества включают до сотни закладок в стеке истории, вынуждая пользователя нажимать кнопку возврата до ста раз, чтобы вернуться на предыдущую страницу. «Со временем мы обнаружили несколько компонентов других вредоносных программ, которые делают похожие вещи, и мы считаем, что все они являются частью той же экосистемы, что и SilentFade», - сказал Карве.
SilentFade вернулся после исправления
Даже после того, как Facebook реализовал свои меры по исправлению положения, чтобы остановить SilentFade, он появился с новой версией, которая удалила изменение настроек уведомлений и блокировку страниц. В пересмотренной версии экспериментировали с различными вещами, такими как обфускация строк, чтобы обмануть сигнатуры обнаружения антивирусов, и использование онлайн-репозиториев git, таких как Bitbucket, для размещения полезных данных. Новый вариант также начал кражу файлов cookie Amazon и Instagram, а также информацию о бизнес-менеджерах Facebook.
Поскольку у Facebook и других веб-сервисов нет программного обеспечения, работающего на конечных точках пользователей, трудно обнаружить компрометацию учетной записи, такую как SilentFade, в режиме реального времени. «Мы не можем надежно определить компрометацию учетной записи в режиме реального времени, и мы зависим от продуктов для защиты конечных точек, которые защищают и не позволяют вредоносным программам заразить пользовательские устройства», - сказал Карве. «В будущем, возможно, стоит подумать о том, чтобы показать пользователям, какие онлайн-учетные записи могут быть скомпрометированы после обнаружения образца, и помочь пользователям сбросить пароли к их учетным записям».
Facebook пошел другим путем для решения проблемы SilentFade в декабре 2019 года, когда он подал гражданский иск в Калифорнии против ILikeAd Media International Company Ltd., Чен Сяо Конга и Хуан Тао за создание и установку вредоносного ПО SilentFade.
Несмотря на сбои и кражу долларов, потраченных пользователями на рекламу, Facebook считает, что ему повезло. «Нечасто мы действительно можем напрямую связать злоупотребление на веб-платформе с кражей учетных данных, но в данном случае нам повезло, что мы смогли это сделать», - сказал Карве. Мало того, мы смогли найти людей, участвовавших в разработке этого вредоносного ПО; мы также подали против них в декабре 2019 года судебный иск».
Facebook - это магнит для мошенников, воров и других злоумышленников, стремящихся обмануть и манипулировать огромным кругом пользователей гиганта социальных сетей. Одна группа, обнаруженная собственными исследователями Facebook, применила такой изощренный подход к обману пользователей Facebook, что ушла с 4 миллионами долларов в сложной схеме рекламного мошенничества, которая не была обнаружена ее жертвами.
Сачит Карве, выступая как от имени себя, так и от своего коллеги по исследованию безопасности Facebook Дженнифер Ургилез, подробно рассказал об этой схеме на конференции VB 2021 на прошлой неделе. Инсайдеры Facebook назвали эту группу SilentFade и обнаружили, что она пришла из экосистемы китайских вредоносных программ, которая использовала различные типы вредоносных программ в своих киберпреступлениях.
Facebook обнаружил семейство вредоносных программ ближе к концу 2018 года, но проследил его происхождение до 2016 года. SilentFade уделяет большое внимание целям в социальных сетях. «SilentFade интересен нам, поскольку он явно нацелен на пользователей социальных сетей и, в последнее время, сервисов с социальными компонентами, таких как Amazon», - сказал Карве.
Название SilentFade происходит от «Сайлент LY работает Facebook объявление с эксплоитами» «Вредоносная программа способна запускать рекламу на Facebook без ведома пользователя, используя ошибку на платформе», - сказал Карве на конференции.
Facebook впервые заметил, что что-то не так, когда 22 декабря 2018 года трафик на платформе резко увеличился. Изучив журналы трафика, исследователи обнаружили, что какое-то неизвестное вредоносное ПО крало файлы cookie и учетные данные Facebook и использовало уязвимость, чтобы оставаться скрытым от скомпрометированных пользователей.
Как работает SilentFade
С точки зрения функциональности SilentFade удобен и сложен. Он крадет учетные данные Facebook в виде сохраненных паролей и файлов cookie, хранящихся в браузерах, и воссоздает основную информацию профиля, такую как количество друзей скомпрометированного пользователя, любые старые страницы в профиле пользователя и сумму денег, которую пользователь оставил потратить. запуск рекламы в Facebook. Затем он проверяет, есть ли у пользователя действующая кредитная карта или учетная запись PayPal, связанная с его учетной записью Facebook.
По словам Карве, как и многие кражи информации, SilentFade читает файл кэша данных входа, который браузеры на основе Chromium используют для чтения сохраненных паролей. SilentFade также собирает файлы cookie сеанса, которые, по сути, представляют собой токены, выпущенные после аутентификации, что позволяет вредоносной программе обходить многофакторную аутентификацию, поскольку у нее уже есть токен, выданный после успешного входа в систему. Затем вредоносная программа может успешно отправлять запросы в Facebook как аутентифицированный пользователь.
Одним из ключей к тому, как работает вредоносная программа, является то, что она получает доступ к GraphAPI Facebook. Это достигается путем перехвата токена доступа к менеджеру рекламы в HTML-ответе страницы Facebook Ads Manager. После извлечения токена SilentFade может получить список всех способов оплаты, связанных с учетной записью, информацию о связанных кредитных картах (но без номеров кредитных карт) и баланс в рекламной учетной записи Facebook.
Набор специфичных для Facebook двоичных файлов сводит к минимуму вероятность того, что пользователи обнаружат SilentFade, ограничивая все уведомления от Facebook, будь то через SMS, электронную почту или push-уведомления. SilentFade может даже отключить звуковые уведомления, чтобы ничего не слышать.
«Авторы вредоносного ПО потратили много времени на настройку параметров Facebook, чтобы найти уязвимость, которой они воспользовались и воспользовались возможностью для ее эксплуатации», - сказал Карве. Как следствие, пользователи не уведомляются о подозрительном входе в систему или активности, даже если система безопасности Facebook обнаруживает ненормальное поведение.
Пользователи не могут разблокировать настройки уведомлений, с которыми работает SilentFade, а заблокированные страницы, используемые в процессе уведомления, остаются в необратимом состоянии. Чтобы исправить эти проблемы, Facebook добавил проверки достоверности, чтобы убедиться, что все блоки являются обратимыми, и предпринял ряд других действий, таких как принудительный сброс паролей для затронутых пользователей, завершение всех активных сеансов пользователей, затронутых эксплойтом, и создание предупреждений о входе в систему и бизнеса. страницы разблокируются.
Использование теневой экономики рекламы
«Как только SilentFade заражает систему, он буквально использует сеансы и токены доступа для получения информации об учетной записи и ссылки на способы оплаты. Затем они экспортируются на серверы [управления и контроля SilentFade] и, возможно, продаются на подпольном рынке тому, кто предложит самую высокую цену в зависимости от стоимости аккаунта», - сказал Карве.
Как только успешные подпольные покупатели могут войти в свои учетные записи, используя те же законные сеансы, которые они продали, они могут затем создать рекламу, обычно для товаров низкого уровня, таких как поддельные солнцезащитные очки, при этом используя рекламные платежи жертвы для оплаты этого. Они также используют поддельные одобрения знаменитостей на таблетки для похудения и продают таблетки для улучшения мужских качеств.
Однако изысканность на этом не заканчивается. Даже реклама, которую размещают мошенники, прилагает все усилия, чтобы скрыть свои действия. Например, если реклама нацелена на пользователей в Австралии, она будет перенаправлять пользователей на мошенническую страницу только в том случае, если IP-адрес переходит в Австралию, чтобы избежать каких-либо подозрений.
Аналогичным образом, если реклама нацелена на мобильные устройства, перенаправляются только мобильные устройства. Точно так же щелчок должен исходить из Facebook, чтобы увидеть мошенническую страницу. Даже изображения в рекламе часто искажаются, чтобы сбить с толку классификаторы изображений.
Пользователи могут с трудом выбраться из цикла мошенничества с рекламой, потому что некоторые страницы мошенничества включают до сотни закладок в стеке истории, вынуждая пользователя нажимать кнопку возврата до ста раз, чтобы вернуться на предыдущую страницу. «Со временем мы обнаружили несколько компонентов других вредоносных программ, которые делают похожие вещи, и мы считаем, что все они являются частью той же экосистемы, что и SilentFade», - сказал Карве.
SilentFade вернулся после исправления
Даже после того, как Facebook реализовал свои меры по исправлению положения, чтобы остановить SilentFade, он появился с новой версией, которая удалила изменение настроек уведомлений и блокировку страниц. В пересмотренной версии экспериментировали с различными вещами, такими как обфускация строк, чтобы обмануть сигнатуры обнаружения антивирусов, и использование онлайн-репозиториев git, таких как Bitbucket, для размещения полезных данных. Новый вариант также начал кражу файлов cookie Amazon и Instagram, а также информацию о бизнес-менеджерах Facebook.
Поскольку у Facebook и других веб-сервисов нет программного обеспечения, работающего на конечных точках пользователей, трудно обнаружить компрометацию учетной записи, такую как SilentFade, в режиме реального времени. «Мы не можем надежно определить компрометацию учетной записи в режиме реального времени, и мы зависим от продуктов для защиты конечных точек, которые защищают и не позволяют вредоносным программам заразить пользовательские устройства», - сказал Карве. «В будущем, возможно, стоит подумать о том, чтобы показать пользователям, какие онлайн-учетные записи могут быть скомпрометированы после обнаружения образца, и помочь пользователям сбросить пароли к их учетным записям».
Facebook пошел другим путем для решения проблемы SilentFade в декабре 2019 года, когда он подал гражданский иск в Калифорнии против ILikeAd Media International Company Ltd., Чен Сяо Конга и Хуан Тао за создание и установку вредоносного ПО SilentFade.
Несмотря на сбои и кражу долларов, потраченных пользователями на рекламу, Facebook считает, что ему повезло. «Нечасто мы действительно можем напрямую связать злоупотребление на веб-платформе с кражей учетных данных, но в данном случае нам повезло, что мы смогли это сделать», - сказал Карве. Мало того, мы смогли найти людей, участвовавших в разработке этого вредоносного ПО; мы также подали против них в декабре 2019 года судебный иск».
