Şu anda kampanya, 180.000 $’lık bir reklam bütçesinden ödün vererek, ABD’deki 310’u dahil olmak üzere dünya çapında yaklaşık 800 kişi ve işletmeyi etkiledi.
Facebook, reklam kampanyalarını optimize etmek için gelişen bir platform olarak hizmet ediyor ve bu da onu dünya çapındaki işletmelerin gelirlerini artırmaları için çok önemli bir araç haline getiriyor. Ancak, platform siber suçlular tarafından kötü amaçlı yazılım yaymak için istismar edildiğinden ve daha da kötüsü, fidye yazılımı.
Malwarebytes’in kıdemli tehdit araştırmacısı Jérôme Segura tarafından yakın zamanda yayınlanan bir uyarı, işletmelerin uyanık olması gerektiğini vurguluyor. Özellikle gerçek olamayacak kadar iyi görünen ve şüpheli URL’lere tıklamayı içeren tekliflerle karşı karşıya kaldığında, kötü niyetli Meta reklam yöneticisi indiricilerinin ve Chrome uzantılarının kurbanı olmamaya dikkat çekiyor. Bu saldırıların birincil hedefleri genellikle reklam dolarlarını Meta platformlarına yatırmak isteyen işletme hesabı kullanıcılarıdır.
Vietnamlı Bilgisayar Korsanları İşletmelerin Reklam Hesaplarını Hedefliyor
Malwarebyte’ın son blog gönderisine göre, Vietnam kökenli yeni tanımlanan bir siber suç çetesi, Facebook işletme kullanıcıları, reklam hesaplarını çalmak amacıyla. Bu durumu daha da ürkütücü kılan ise, mağdurların belirli bir coğrafi bölge ile sınırlı olmaması; saldırılar dünya çapında bildirildi.
Jérôme Segura, kendi analiz, son haftalarda Meta/Facebook Ad Manager kimliğine bürünmeye çalışan sponsorlu gönderilerde ve hesaplarda gözle görülür bir artış bildirdi. Konuyu daha derinlemesine inceleyen müfettişler, siber suçluların sahte yazılımları Facebook’ta reklamları optimize etmek için daha etkili bir araç olarak yanlış bir şekilde tanıtarak dağıttığını ortaya çıkardı. İşletmeler ve reklamverenler, hesaplarını ve varlıklarını korumak için ortaya çıkan bu tehdidin farkında olmalıdır.
Siber suç çetesi, Facebook işletme hesabı kimlik bilgilerini çalmak için tercih ettikleri yöntem olarak kötü amaçlı yazılım bulaşmış Chrome uzantılarını kullanıyor. Özellikle merak uyandıran şey, Jérôme Segura’nın tehdit aktörlerinin kendi yaptıkları bir hata sayesinde kampanyalarını tespit edebilmesidir.
Görünüşe göre, saldırganlar yanlışlıkla kötü amaçlı yazılım dosyaları yanlış yerde, bu da sonuçta çalınan verilerin yanlışlıkla açığa çıkmasına neden oldu. Bu talihli hata, Malwarebytes’teki araştırmacılara siber suç operasyonunu araştırma ve analiz etmelerinde yardımcı olan değerli bilgiler sağladı.
Meta İşletme Hesaplarına Kötü Amaçlı Yazılım Bulaştığında Ne Olur?
Kötü amaçlı uzantı indirildikten sonra, saldırganlar işletmenin reklam bütçesi üzerinde kontrol sahibi olur ve kendi gündemlerine göre bundan yararlanmalarına olanak tanır. Kampanya, Haziran ayı başlarında, tehdit aktörlerinin işletmeleri URL’ler aracılığıyla dağıtılan ve reklam gelirlerini artırma sözü veren aldatıcı Facebook Reklam Yöneticisi programı yükleyicileriyle kandırmasıyla ortaya çıktı.
Saldırganlar, planlarını daha inandırıcı kılmak için binlerce takipçisi olan sahte hesaplar kullandı. Sonuç olarak, bu hesaplar aracılığıyla yapılan gönderiler hızla viral hale geldi ve bundan şüphelenmeyen kurbanları daha da yanılttı ve saldırının etkisini artırdı.
Kurbanlar, Meta’nın resmi logosunu ve markasını taklit eden kimlik avı sayfalarına yönlendirilir. Program dosyası indirildikten sonra, bir MSI yükleyici paketinin çeşitli bileşenleri şu dizine yüklenir: C:\Program Files (x86)\Ads Manager\Ads Manager. Ardından, özel bir uzantıyı görüntüleyen yeni bir tarayıcı penceresi açan bir toplu komut dosyası başlatılır.
Bu pencerede, masum kurbandan Facebook kimlik bilgilerini aldatıcı bir oturum açma sayfasına girmesi istenir. Siber suçlular, bu sahte oturum açma sayfası aracılığıyla kurbanların oturum açma kimlik bilgilerini toplamayı ve kurbanların Facebook işletme hesaplarına yetkisiz erişim sağlamayı hedefliyor.
Özel uzantı, zekice paketlenmemiş bir Google Çeviri uzantısı gibi görünerek zararsız ve meşru görünmesini sağlar. Bununla birlikte, tersine mühendislik yapıldığında, uzantı kodunun sözde işleviyle tamamen ilgisiz olduğu ortaya çıkar. Bunun yerine, bu aldatıcı uzantının tek amacı, Facebook oturum açma kimlik bilgilerini ve çerezleri, şüphelenmeyen kullanıcılardan yasa dışı bir şekilde toplamaktır.
Siber suçlular, çalınan verileri dışarı sızdırmak için, İçerik Güvenliği Politikası (CSP) kısıtlamalarını aşmak için kurnazca bir teknik kullanır. Google Analytics. Bu, çalınan bilgileri tespit edilmeden ve herhangi bir alarm tetiklemeden iletmelerine olanak tanır. Gerçekte, saldırganlar, yaygın olarak kullanılan Google Analytics hizmetini, çalınan verileri kurbanın sisteminden gizlice çıkarıp kendi kötü amaçlı altyapılarına sokmak için bir kanal olarak kullanır.
Bu sofistike yöntem, siber suç çetesinin faaliyetlerini sürdürmesine olanak tanır. yasa dışı faaliyetler Facebook işletme hesabı kullanıcılarının güvenlik ve mahremiyetinden ödün verirken gizlice, tespit edilmekten kaçınarak.
Bilginiz olsun diye söylüyorum, Facebook Ad Manager, kullanıcıların Instagram da dahil olmak üzere Meta’nın sahip olduğu çeşitli sosyal medya platformlarında çevrimiçi reklamlar yayınlamasını sağlayan bir araçtır. Son zamanlarda, siber güvenlik araştırmacıları, Facebook işletme hesaplarını ele geçirmek amacıyla Chrome uzantılarını dağıtmak için kullanılan yaklaşık 20 kötü niyetli reklam yöneticisi arşivi tespit etti.
Araştırmacılar, araştırmaları sırasında yeni keşfedilen bir kimlik avı sitesine rastladılar ve siber suçlular tarafından yapılan beklenmedik bir hata buldular. Saldırganlar, yükü eklemeyi başaramadı ancak çalınan verileri istemeden sızdırdı.
Hatalarını fark eden suçlular, dosyayı derhal ellerinden aldı. Google Drive hesabı ve ardından kimlik avı sitesindeki indirme bağlantısını MediaFire’da barındırılan yeni bir dosyayla güncelledi. Bu hareket, muhtemelen izlerini örtmek ve kötü niyetli faaliyetlerini tespit edilmeden sürdürmek için bir girişimdi.
Daha fazla analizin ardından araştırmacılar, çalınan verilerde doğrudan reklam bütçeleri ve para birimleriyle ilgili olan Vietnamca sütun başlıkları belirlediler. Bu, siber suç çetesinin kökenine işaret ediyor veya kurbanları hedef alıyor olabileceklerini gösteriyor. Vietnamca konuşulan bölgeler.
Şu an itibariyle, kampanya yaklaşık 800 kişi ve işletmeyi mağdur ederek tehdidin ciddiyetini ve bu tür kimlik avı saldırılarına ve kötü amaçlı yazılım dağıtım planlarına karşı tetikte olmanın önemini vurguluyor. Daha da kötüsü, tehdit aktörleri Amerika Birleşik Devletleri’ndeki 300 kurban da dahil olmak üzere 180.000 doların üzerinde reklam bütçesinden taviz vermeyi başardı.
Daha önceki araştırmalarda Meta, DuckTail gibi tehdit aktörleri, diğerlerinin yanı sıra, uzun bir süredir Facebook reklam hesaplarını hedefliyor. Jérôme Segura, bu tehdit aktörünün DuckTail’e doğrudan atfedilmesi konusundaki belirsizliği kabul etse de, güdülerdeki yadsınamaz benzerlikleri ve bir bağlantı olasılığını artıran Facebook işletme hesaplarını hackleme konusundaki ortak tercihi vurguluyor.
Kampanyanın keşfine yanıt olarak, Facebook usulüne uygun olarak bilgilendirildi ve şirket derhal harekete geçti. Kendilerini korumak için, Facebook işletme yöneticisi hesaplarının kullanıcılarına, kimliği belirsiz kullanıcıların erişimini derhal iptal etmeleri ve yüklenmiş olabilecek olası kötü amaçlı yazılımları belirlemek ve kaldırmak için bilgisayarlarını kapsamlı bir şekilde taramaları önerilir. Bu ihtiyati tedbirleri almak, hesaplarını ve verilerini bu kötü niyetli saldırıların kurbanı olmaktan korumaya yardımcı olacaktır.
- Mandrake Android kötü amaçlı yazılımı 2016’dan beri Facebook verilerini çalıyor
- Facebook reklamları, bir Clubhouse PC uygulaması gibi görünen kötü amaçlı yazılımları düşürdü
- CopperStealer kötü amaçlı yazılımı Facebook ve Google şifrelerini çalıyor
- Facebook, iOS ve Android kötü amaçlı yazılımları için 100’lerce hesabı kaldırır