Facebook işletme hesaplarını ele geçirenler, hedefleri kandırarak şifre çalan kötü amaçlı yazılımları indirmeleri için sahte iş sorgularına ve sayfa/hesap askıya alma tehditlerine güveniyor.
Kimlik avı mesajlarına örnekler. (Kaynak: Guardio Labs)
Kampanya
Ele geçirilen Facebook işletme hesapları, reklamlar ve daha fazla dolandırıcılıkla geniş bir hedef kitleye ulaşmanın harika bir yoludur.
“Ek olarak, Facebook ticari hesapları olan kişilerin bankacılık, e-ticaret, reklam platformları ve çok daha fazlası gibi diğer platformlarda da oldukça değerli hesapları olması muhtemeldir; bunların tümü doğrudan tarayıcılarının çerezlerinden ve şifre dosyalarından alınabilir” diyor Guardio Labs araştırmacısı Oleg Zaytsev.
Bu özel kampanyada dolandırıcılar, işletme hesabı sahipleriyle Facebook Messenger aracılığıyla iletişim kuruyor. Onlardan belirli bir ürün hakkında daha fazla bilgi istiyorlar veya bir fotoğrafı veya videoyu Facebook sayfalarından kaldırmalarını istiyorlar ve görünüşte söz konusu fotoğraf veya videoyu gönderiyorlar.
Yalnızca dosya bir RAR veya ZIP arşividir ve yürütüldüğünde, sonunda güçlü bir Python tabanlı hırsız sunan çok aşamalı bir süreci başlatan, çalınan çerezleri ve oturum açma bilgilerini suçlular tarafından işletilen bir Telegram kanalına gönderen bir dosyadır.
“Bu durumda son bir bonus, komut dosyasının aslında tüm çerezleri çaldıktan sonra silmesidir. Bu, kurbanın hesaplarını kilitleyerek dolandırıcılara oturumlarını ele geçirmeleri ve şifreyi değiştirmeleri için zaman tanır; böylece kurbanlar çalınan oturumu iptal edemeyecek veya şifreyi kendileri değiştiremeyecektir,” diye açıkladı Zaytsev.
Kötü amaçlı yazılım başlangıçta çoğu antivirüs ve uç nokta güvenlik çözümü tarafından fark edilmeden geçebildi.
Yüksek başarı oranı
Ele geçirilen sosyal medya ticari hesaplarının satışıyla ilgili gelişen bir yeraltı ekonomisi var ve Vietnam merkezli tehdit aktörlerinin bu olayın en aktif katılımcıları arasında olduğu görülüyor.
Zaytsev, “Tehdit aktörleri, robotlardan ve sahte Facebook hesaplarından oluşan bir ordunun yanı sıra milyonlarca işletme hesabı, sayfa ve yöneticiden oluşan bir listeye sahipler ve dünya çapındaki Facebook kullanıcılarına haftada +100 binden fazla kimlik avı mesajı gönderiyorlar” dedi.
Guardio Labs, bu kampanyada hedeflenen 250 hesap sahibinden 1’inin kötü amaçlı dosyayı indirdiğini ve bunlardan 70’inden 1’ine kötü amaçlı yazılım bulaştığını tahmin ediyor.