février 7, 2021

Comment un gang de malwares chinois a fraudé les utilisateurs de Facebook de 4 millions de dollars

Par admin2020

[ad_1]

Site Facebook

Image: Kon Karampelas

Au Conférence sur la sécurité Virus Bulletin 2020 Aujourd’hui, les membres de l’équipe de sécurité de Facebook ont ​​divulgué plus de détails sur l’une des opérations de malware les plus sophistiquées qui ait jamais ciblé les utilisateurs de Facebook.

Connu en interne sur Facebook comme SilentFade, ce gang de malwares était actif entre fin 2018 et février 2019, lorsque l’équipe de sécurité de Facebook a détecté leur présence et est intervenue pour arrêter leurs attaques.

SilentFade a utilisé une combinaison d’un cheval de Troie Windows, d’injections de navigateur, de scripts intelligents et d’un bogue dans la plate-forme Facebook, montrant un modus operandi sophistiqué rarement vu avec des gangs de logiciels malveillants ciblant la plate-forme Facebook.

Le but des opérations de SilentFade était d’infecter les utilisateurs avec le cheval de Troie, de détourner les navigateurs des utilisateurs et de voler les mots de passe et les cookies du navigateur afin qu’ils puissent accéder aux comptes Facebook.

Une fois qu’ils y ont accès, le groupe a recherché des comptes pour lesquels un type de mode de paiement était associé à son profil. Pour ces comptes, SilentFade a acheté des publicités Facebook avec les fonds de la victime.

silentfade-mo.png

Image: Krave et Urgilez VB parlent

Bien qu’il n’ait fonctionné que pendant quelques mois, Facebook a déclaré que le groupe avait réussi à frauder des utilisateurs infectés de plus de 4 millions de dollars, qu’ils utilisaient pour publier des publicités Facebook malveillantes sur le réseau social.

Les publicités, qui apparaissaient généralement à l’emplacement géographique de l’utilisateur infecté, pour limiter leur exposition, utilisaient un modèle similaire.

Ils ont utilisé des raccourcisseurs d’URL et des images de célébrités pour attirer les utilisateurs sur des sites vendant des produits louches, tels que des produits de perte de poids, des pilules céto, etc.

silentfade-ad-samples.png

Image: Krave et Urgilez VB parlent

Facebook a découvert les opérations de SilentFade en février 2019, à la suite de rapports d’utilisateurs faisant état d’activités suspectes et de transactions illégales provenant de leurs comptes.

Au cours de l’enquête qui a suivi, Facebook a déclaré avoir trouvé les logiciels malveillants du groupe, les souches de logiciels malveillants précédentes et les campagnes remontant à 2016, et même retrouvé les opérations du gang à une société chinoise et à deux développeurs, que la société a poursuivis en décembre 2019.

Les débuts de SilentFade

Selon Facebook, le gang SilentFade a commencé à fonctionner en 2016, lorsqu’il a développé pour la première fois une souche de malware nommée SuperCPA, principalement destinée aux utilisateurs chinois.

« On en sait peu sur ce malware car il est principalement alimenté par des fichiers de configuration téléchargés, mais nous pensons qu’il a été utilisé pour la fraude au clic – donc le CPA dans ce cas fait référence au coût par action – via une base d’installation de victimes en Chine », a déclaré Facebook. Sanchit Karve et Jennifer Urgilez ont écrit dans leur rapport SilentFade.

Mais Facebook affirme que le groupe a abandonné le malware SuperCPA en 2017 lorsqu’il a développé la première itération du malware SilentFade. Cette première version a infecté les navigateurs pour voler les informations d’identification des comptes Facebook et Twitter, en mettant l’accent sur les profils vérifiés et très suivis.

Mais le développement sur SilentFade a repris en 2018 lorsque sa version la plus dangereuse et celle utilisée dans les attaques de 2018 et 2019 sont apparues.

Comment SilentFade se propage en ligne

Karve et Urgilez disent que le gang a diffusé la version moderne de SilentFade en l’associant à des logiciels légitimes qu’ils ont proposés au téléchargement en ligne. Facebook a déclaré avoir trouvé des publicités des deux développeurs de SilentFade publiées sur des forums de piratage où ils étaient prêts à acheter du trafic Web à partir de sites piratés ou d’autres sources, et de rediriger ce trafic vers les pages hébergeant les bundles de logiciels infectés par SilentFade.

silentfade-ads.png

Image: Krave et Urgilez VB parlent

Une fois les utilisateurs infectés, le cheval de Troie de SilentFade prendrait le contrôle de l’ordinateur Windows d’une victime, mais plutôt que d’abuser du système pour des opérations plus intrusives, il ne remplaçait que les fichiers DLL légitimes dans les installations du navigateur par des versions malveillantes de la même DLL qui permettaient au gang SilentFade de contrôler le navigateur.

Les navigateurs ciblés comprenaient Chrome, Firefox, Internet Explorer, Opera, Edge, Orbitum, Amigo, Touch, Kometa et le navigateur Yandex.

Les DLL malveillantes ont volé les informations d’identification stockées dans le navigateur, mais, plus important encore, les cookies de session du navigateur.

SilentFade a ensuite utilisé le cookie de session Facebook pour accéder au compte Facebook de la victime sans avoir besoin de fournir ni informations d’identification ni jeton 2FA, passant comme un titulaire de compte légitime et déjà authentifié.

Le bug de la plateforme Facebook

C’est là que SilentFade a montré sa vraie sophistication.

Facebook a déclaré que le logiciel malveillant utilisait des scripts intelligents pour désactiver de nombreuses fonctionnalités de sécurité du réseau social, et avait même découvert et utilisé un bogue dans sa plate-forme pour empêcher les utilisateurs de réactiver les fonctionnalités désactivées.

Karve et Urgilez ont déclaré que pour empêcher les utilisateurs de découvrir que quelqu’un aurait pu accéder à leur compte ou publier des publicités en leur nom, le gang SilentFade a utilisé son contrôle sur le navigateur pour accéder à la section des paramètres Facebook de l’utilisateur et désactiver:

  • Notifications du site
  • Sons de notification de chat
  • Notifications par SMS
  • Notifications par e-mail de tout type
  • Notifications liées à la page.

Mais SilentFade ne s’est pas arrêté ici. Sachant que les systèmes de sécurité de Facebook pourraient détecter des activités et des connexions suspectes et avertir l’utilisateur via un message privé, le gang SilentFade a également bloqué le Facebook pour les entreprises et Alertes de connexion Facebook comptes qui ont envoyé ces messages privés en premier lieu.

silentfade-security-dms.png

Image: Krave et Urgilez VB parlent

Le groupe SilentFade a ensuite recherché un bogue sur la plate-forme Facebook et en a abusé à chaque fois que l’utilisateur tentait de débloquer les comptes, déclenchant une erreur et empêchant les utilisateurs de supprimer les deux interdictions de compte.

silentfade-server-side-bug.png

Image: Krave et Urgilez VB parlent

«C’était la première fois que nous observions des logiciels malveillants modifiant activement les paramètres de notification, bloquant des pages et exploitant un bogue dans le sous-système de blocage pour maintenir la persistance dans un compte compromis», a déclaré Facebook.

« L’exploitation de ce bogue lié aux notifications, cependant, est devenue une lueur d’espoir qui nous a aidés à détecter les comptes compromis, à mesurer l’ampleur des infections SilentFade et à cartographier les abus provenant des comptes d’utilisateurs au malware responsable de la compromission initiale du compte. »

Facebook a remboursé tous les utilisateurs

Facebook a déclaré avoir corrigé le bogue de la plate-forme, annulé les actions de blocage des notifications du malware et remboursé tous les utilisateurs dont les comptes avaient été abusés pour acheter des publicités Facebook malveillantes.

La société ne s’est pas non plus arrêtée là et tout au long de 2019, elle a traqué le malware et ses créateurs sur tout le Web. Des indices ont été trouvés dans un compte GitHub qui hébergeait apparemment de nombreuses bibliothèques utilisées pour créer le malware SilentFade.

Facebook a retrouvé ce compte et le malware SilentFade pour ILikeAd Media International Company Ltd., une société de logiciels basée à Hong Kong, fondée en 2016, et Chen Xiao Cong et Huang Tao, les deux hommes derrière. Facebook a poursuivi la société et les deux développeurs en décembre 2019 dans une affaire judiciaire toujours en cours.

Facebook a également déclaré que SilentFade faisait partie d’une tendance plus large et d’une nouvelle génération d’acteurs de la cybercriminalité qui semblent résider en Chine et qui ont constamment ciblé sa plate-forme et sa juteuse base d’utilisateurs de 2 milliards d’utilisateurs.

Cela inclut également les goûts de Scranos, FacebookRobot, et StressPeinture.

silentfade-china.png

Image: Krave et Urgilez VB parlent

[ad_2]

Source link