Bir grup suçlu, kötü amaçlı Chrome uzantıları aracılığıyla reklam hesaplarına erişim elde etmek için Facebook işletme kullanıcılarını aktif olarak hedefliyor. Ama bir hata yaptıklarını gördük…
Tüm sosyal medya platformları gibi Facebook da sürekli olarak sahte hesaplar, dolandırıcılık ve kötü amaçlı yazılımlarla uğraşmak zorundadır. Sahte Microsoft uyarı sayfalarına yönlendiren tüketicileri hedef alan dolandırıcılıklar hakkında yazdık, ancak ürün ve hizmetlerini tanıtmak için Facebook’u kullanan işletmeleri hedef alan tehditler de var.
Geçtiğimiz birkaç hafta içinde, Meta/Facebook’un kendi Reklam Yöneticisini taklit eden sponsorlu gönderilerde ve hesaplarda bir canlanma oldu. Dolandırıcılar, (kötü amaçlı yazılım yüklü) yazılımlarını kullandığınızda optimizasyon yoluyla daha iyi reklam ve artan performans vaat ediyor. Meta, DuckTail gibi birkaç yıldır aktif olan ve özellikle Facebook reklam hesaplarına ilgi duyan birkaç tehdit aktörünü takip etti ve analiz etti.
Şimdi, Facebook hesabı kimlik bilgilerini çalmak için kötü amaçlı Chrome uzantılarını kullanan ve DuckTail kötü amaçlı yazılımıyla ilgili olmayan yeni bir saldırı keşfettik. Bu kampanyayı takip ederken, tehdit aktörlerinin kötü amaçlı yazılım dosyalarından birini kendi çalıntı verileriyle paketleyerek hata yaptıklarını fark ettik.
Bu kampanya ve tehdit aktörleri hakkındaki bilgileri Meta’ya ilettik ve bildirimimizin ardından hızlı bir şekilde harekete geçtiği için kendisine teşekkür ediyoruz.
Anahtar çıkarımlar
- Vietnamlı tehdit aktörleri aktif olarak Facebook işletme hesaplarını hedefliyor
- Kurbanlar, Facebook’ta tanıtılan sahte Reklam Yöneticisi yazılımı aracılığıyla kandırılıyor
- Kötü amaçlı Google Chrome uzantıları, giriş bilgilerini çalmak ve çıkarmak için kullanılır
- Dünya çapında 800’den fazla kurban, ABD’de 310
- 180.000 $’dan fazla tehlikeye atılmış reklam bütçesi
Sahte Reklam Yöneticisi hesapları
Reklam Yöneticisi, kullanıcıların Facebook, Instagram ve Meta’nın sahip olduğu diğer platformlarda çevrimiçi reklamlar yayınlamasını sağlayan üründür. Mayıs ayında TechCrunch’ta yayınlanan bir makale, dolandırıcıların doğrulanmış hesaplar aracılığıyla Meta’dan nasıl reklam satın aldıklarını açıklıyor. Potansiyel kurbanları, reklamlarını “daha profesyonel ve güvenli bir araç” aracılığıyla yönetmek için yazılım indirmeye ikna etmeye çalışıyorlardı.
Haziran başında, benzer yemler kullanarak aynı dolandırıcılığı yürüten sahte hesaplar tespit ettik. Ayrıca, bu hesapların genellikle on binlerce takipçisi olduğunu ve gönderilerinden herhangi birinin hızla viral hale gelebileceğini belirtmekte fayda var. Dolandırıcılar, öncelikle platformda reklam dolarları harcayabilecek işletme kullanıcılarını hedefliyor.
Bu hesapları ele geçirmek için öncelikle potansiyel kurbanları harici web sitelerine yönlendirmeleri gerekir. Temelde Meta logosunu ve markayı kullanan kimlik avı sayfaları olan birkaç farklı alan gördük. Cazibe, bir indirme bağlantısı aracılığıyla gönderilen Facebook Reklam Yöneticisi programıdır. Aşağıda görüldüğü gibi, Google’dan Trello’ya kadar bu şifre korumalı RAR arşivlerini barındırmak için kötüye kullanılan çeşitli bulut sağlayıcıları gördük.
Kötü amaçlı Chrome uzantısı
Dosya, arşivden çıkarıldıktan sonra, altında birkaç bileşeni yükleyen bir MSI yükleyici paketidir. C:\Program Dosyaları (x86)\Ads Manager\Ads Manager. Bir toplu komut dosyası (adını Google Bard’dan almış olabilir) ve iki klasör görebiliriz. Bunlardan biri, özel bir Chrome uzantısı içindir, Sistem klasörü ise bağımsız bir WebDriver dosyası içerir.
Toplu komut dosyası, MSI yükleyicisi tamamlandıktan sonra başlatılır ve esasen önceki yükleme yolundaki özel uzantıyla başlatılan ve kurbanı Facebook oturum açma sayfasına yönlendiren yeni bir tarayıcı penceresi açar.
taskkill /F /IM chrome.exe
taskkill /F /IM chromedriver.exe
timeout /t 1 >nul
start chrome.exe --load-extension="%~dp0/nmmhkkegccagdldgiimedpiccmgmiedagg4" "https://www.facebook.com/business/tools/ads-manager"
Bu özel uzantı akıllıca Google Çeviri olarak gizlenmiştir ve Chrome Web Mağazası yerine yerel bilgisayardan yüklendiği için “Paketlenmemiş” olarak kabul edilir. Kaynak koduna hızlı bir bakış, gerçekte ne yaptığını gizleme girişiminde anında onaltılık şaşırtmayı ortaya çıkarır.
Bu uzantıya tersine mühendislik uyguladıktan sonra, bunun Google Çeviri ile hiçbir ilgisi olmadığı oldukça açık hale geldi. Aslında, kod tamamen Facebook’a ve bir saldırganın hesaplara giriş yapmasına izin verebilecek önemli bilgileri ele geçirmeye odaklanmıştır. Tehdit aktörlerinin cookie.getAll yöntemi ile talep ettikleri Facebook çerezleri ile ilgilendiklerini görmekteyiz.
Ayrıca, Google Analytics’i kullanarak bu verileri çalmanın ilginç bir yolunu da fark ettik. Bu teknik daha önce HUMAN tarafından CSP’yi atlamanın bir yolu olarak belgelenmiştir.
yanlışlıkla sızıntı
Toplamda, Chrome uzantıları yükleyen veya bunun yerine geleneksel kötü amaçlı yürütülebilir dosyalarla giden 20’den fazla farklı kötü amaçlı Facebook Reklam Yöneticisi arşivi belirledik. Örnekler arasında farklılıklar olsa da, saldırganların asıl amacı aynı gibi görünüyor, yani Facebook işletme hesaplarını ele geçirmek.
Yeni bir kimlik avı sitesini araştırırken, diğerlerinden oldukça farklı görünen bir indirilebilir arşiv gördük. İronik olarak, tehdit aktörleri bir hata yapmış gibi görünüyor ve yükü yüklemek yerine kendi çalınan verilerini veya daha doğrusu kurbanlardan çaldıkları verileri sızdırdılar.
Karşılaştığımız site, Meta Reklam Yöneticisi gibi davranıyor ve daha önce gördüğümüz reklam performansını artırma iddialarıyla aynı övünüyor. adlı bir dosyayı indirmek için bir düğme var. Meta Reklam Yöneticisi.rar Google Drive’da barındırılan.
Ancak, bu arşiv beklenen MSI yükleyicisini değil, bunun yerine en son 15 Haziran’da değiştirilen birkaç metin dosyasını içerir:
Dosya adları açıklayıcı olmakla birlikte, kimlik doğrulama (kontrol noktası, çerez, belirteç) hakkında bilgiler içerdiğini görebiliriz. Ayrıca, bu dosyayı Google Drive aracılığıyla paylaşan tehdit aktörü (dosya sahibi) ve Gmail e-posta adresi hakkında da bilgiler vardır (bu bilgi, daha fazla işlem yapılması için Meta’ya iletilmiştir).
Adı verilen dosyanın ilk satırı List_ADS_Tach.txt Bu saldırıların arkasındaki kişilerin milliyetini doğrulayan Vietnamca bazı adlar içeren sütun başlıkları içerir. Toplamda 828 satır var ve bu da bir o kadar da ihlal edilen Facebook hesabı anlamına geliyor.
Beklendiği gibi, tehdit aktörleri özellikle kurbanlarının reklam hesaplarıyla ilgileniyor. Para birimlerinin yanı sıra reklam bütçesiyle (sütun başlıkları Vietnamca’dan çevrilmiştir ve biraz yanlış olabilir) ilgili farklı ölçümler görebiliriz:
Ödüllü hesaplar, reklam harcaması için büyük bir kalan bakiyeye sahip olanlardır. Bu tehdit aktörünün DuckTail ile doğrudan ilişkili olup olmadığını bilmesek de, saldırıya uğramış Facebook işletme hesaplarından aynı mali kâr amacına sahipler.
Son olarak, verileri bir haritaya dönüştürerek, kurbanların belirli bir coğrafi konumla sınırlı olmadığını, aslında dünya çapında dağıldığını görebiliriz.
Tehdit aktörleri hatalarını birkaç gün sonra fark ettiler ve dosyayı Google Drive hesaplarından çöpe attılar. Ayrıca kimlik avı sitesindeki indirme bağlantısını MediaFire aracılığıyla barındırılan yeni bir dosyayla güncellediler (neyse ki kullanıcılar için dosya kötü amaçlı yazılım olarak algılandı ve indirme işlemi engellendi).
Düşük maliyetli, yüksek verim tehdidi
İşletme kullanıcıları, belirli gönderilere tıklayarak ve kazançlarını artırdığını iddia eden programları indirerek Facebook’taki reklam kampanyalarını optimize etme eğiliminde olabilir. Ancak, talimatlar yazılımın güvenli ve kötü amaçlı yazılım içermediğini iddia etse bile (veya özellikle) bu çok tehlikeli bir uygulamadır. Sihirli bir değnek olmadığını ve kulağa gerçek olamayacak kadar iyi gelen her şeyin kılık değiştirmiş bir dolandırıcılık olabileceğini unutmayın.
Dolandırıcıların ellerinde çok zaman var ve kötü aktörleri dışarıda tutmanın sürekli bir silahlanma yarışı olduğu sosyal medyayı ve bulut platformlarını nasıl kötüye kullanacaklarını anlamak ve çalışmak için yıllarını harcıyorlar. TechCrunch’ın son makalesinde vurgulanan raporlara göre, tehdit aktörleri, daha fazla kurbanı tuzağa düşürmek ve bu döngüyü sürdürmek için kötü amaçlı reklamlar yerleştirmek üzere çalınan reklam bütçelerinin bir kısmını yeniden yatırabilir.
Bu kötü niyetli Facebook Ad Manager yükleyicilerinden birini indirdiyseniz, Malwarebytes arkanızda. Halihazırda bu kampanyalardan birkaç bileşen alıyorduk ve optimum algılama kapsamı için ek koruma ekledik. Mağdurlar ayrıca, dolandırıcıların eklemiş olabileceği Business Manager hesap profillerinden bilinmeyen kullanıcılara erişimi iptal etmek ve işlem geçmişlerini incelemek isteyeceklerdir.
Raporumuzu anlayışla karşıladığı ve kullanıcıların güvenliğini sağlamaya yardımcı olduğu için Meta’ya teşekkür ederiz.
Uzlaşma Göstergeleri
yem sitesi
fbadmanage[.]info
RAR arşivleri (şifre 888 veya 999)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 edilen MSI dosyası
fd637520a9ca34f7b4b21164581a4ec498bf106ba168b5cb9fcd54b5c2caafd0
Malwarebytes EDR ve MDR, fidye yazılımının tüm kalıntılarını kaldırır ve yeniden virüs bulaşmanızı engeller. İşletmenizi korumaya nasıl yardımcı olabileceğimiz hakkında daha fazla bilgi edinmek ister misiniz? Aşağıdan ücretsiz bir deneme alın.
ŞİMDİ DENE