Siber güvenlik araştırmacıları, hassas verileri çalmak için kötü amaçlı reklamlar ve sahte web siteleri kullanarak sahte tarayıcı uzantıları sunan iki yeni kampanya açıkladı.
Bitdefender başına kötü niyetli kampanyası, sahte “meta doğrulanmış” tarayıcı uzantılarını itmek için tasarlanmıştır SocialMetrics Pro Facebook ve Instagram profilleri için mavi çek rozetinin kilidini açma iddiası. Söz konusu uzantıya hizmet eden en az 37 kötü amaçlı reklam gözlenmiştir.
Romen siber güvenlik satıcısı, “Kötü niyetli reklamlar, Facebook’ta veya diğer özel özelliklerde mavi doğrulama kenesinin kilidini açtığını iddia eden bir tarayıcı uzantısı indirme ve yükleme sürecinde izleyicilere rehberlik eden bir video öğreticisi ile paketlenmiştir.” Dedi.
Ancak, gerçekte, Box adlı meşru bir bulut hizmetinde barındırılan uzantı, Facebook’tan oturum çerezlerini toplayabilir ve bunları saldırganlar tarafından kontrol edilen bir telgraf botuna gönderebilir. Ayrıca, ipinfo’ya bir sorgu göndererek kurbanın IP adresini almak için donanımlı[.]IO/JSON.
Hesaplarla ilgili ek bilgileri almak için Facebook Grafik API ile etkileşim kurmak için çalınan çerezler kullanılarak Rogue Browser eklentisinin seçkin varyantları gözlemlenmiştir. Geçmişte, kötü amaçlı yazılım Like DoNestealer, hesabın bütçe ayrıntılarını toplamak için Facebook Grafik API’sinden yararlandı.
Bu çabaların nihai amacı, diğer dolandırıcılara kar için değerli Facebook iş ve reklam hesapları satmak veya daha fazla kötü niyetli kampanyaları beslemek için yeniden kullanmaktır, bu da daha fazla kaçırılmış hesaplara yol açar-etkili bir şekilde kendi kendini sürdüren bir döngü yaratır.
Kampanya, genellikle Facebook hesaplarına yetkisiz erişimi hedeflemek ve yetkisiz erişim elde etmek için çeşitli çalan aileleri benimsediği bilinen Vietnamca konuşan tehdit aktörleriyle ilişkili tüm “parmak izlerini” sergiliyor. Bu hipotez, öğreticiyi anlatmayı ve kaynak kodu yorumlarını eklemek için Vietnamlıların kullanımı ile de desteklenir.
Bitdefender, “Güvenilir bir platform kullanarak, saldırganlar kitlesel bağlantıları toplayabilir, otomatik olarak öğreticilere yerleştirebilir ve kampanyalarını sürekli olarak yenileyebilir.” Dedi. Diyerek şöyle devam etti: “Bu, reklam görüntülerinden öğreticilere kadar her şeyin toplu olarak yaratıldığı kötü niyetli bir saldırgan modeline uyuyor.”
Facebook ve Instagram için yapay zeka (AI) destekli reklam optimizasyon araçları olarak poz veren sahte web siteleri aracılığıyla dağıtılan Rogue Chrome uzantıları ile meta reklamverenleri hedefleyen başka bir kampanyayla açıklanması. Operasyonun merkezinde adlı sahte bir platform var Madgicx Plus.
Cyberseason, “Kampanya yönetimini kolaylaştırmak ve yapay zeka kullanarak YG’yi artırmak için bir araç olarak tanıtılan uzantı, bunun yerine iş oturumlarını ele geçirebilen, kimlik bilgilerini çalma ve meta iş hesaplarından ödün verebilen potansiyel olarak kötü niyetli işlevler sunar.” Dedi.
“Uzantılar verimlilik veya reklam performans arttırıcıları olarak teşvik edilir, ancak kimlik bilgilerini çalabilen, oturum belirteçlerine erişebilen veya hesap devralmayı etkinleştirebilen çift amaçlı kötü amaçlı yazılım olarak çalışırlar.
Birincisi hala Chrome Web mağazasından indirilebilir olan uzantılar, aşağıda listelenmiştir –
Yüklendikten sonra, uzatma tüm web sitelerine tam erişim kazanır ve tehdit aktörlerinin keyfi komut dosyaları enjekte etmesini, ağ trafiğini kesmesini ve değiştirmesini, tarama etkinliğini izlemesini, form girdilerini yakalama ve hassas verileri hasat etmesini sağlar.
Ayrıca, kullanıcıları Hizmete erişmek için Facebook ve Google hesaplarını bağlamalarını sağlarken, kimlik bilgileri arka planda gizlice hasat edilir. Ayrıca, eklentiler, yukarıda belirtilen sahte meta doğrulanmış uzantıya benzer şekilde, Facebook Graph API ile etkileşim kurmak için kurbanların çalınan Facebook kimlik bilgilerini kullanması nedeniyle işlev görür.
Cybereason, “Bu aşamalı yaklaşım net bir tehdit-aktör stratejisi ortaya koyuyor: önce Google kimlik verilerini yakalamak, daha sonra erişimi genişletmek ve değerli işleri kaçırma veya reklam varlıkları şansını artırmak için Facebook’a dönme.” Dedi.