Kako su kineski kriminalci ukrali od korisnika Facebooka 4 miliona dolara

Društvene mreže, 02.10.2020, 02:00 AM

Na konferenciji o bezbednosti Virus Bulletin 2020, članovi Facebookovog tima zaduženog za bezbednost društvene mreže otkrili su detalje o kriminalnoj grupi SilentFade, i njenim aktivnostima usmerenim protiv korisnika Facebooka.

Grupa SilentFade, bila je aktivna od kraja 2018. do februara 2019. godine, kada je Facebookov tim za bezbednost otkrio njihovo prisustvo i intervenisao da bi zaustavio njihove napade.

SilentFade je koristio kombinaciju različitih tehnika napada, a sofisticiranost njihovog načina rada retko se viđa kada je reč o kriminalnim grupama koje napadaju Facebook platformu.

Svrha napada grupe SilentFade bila je infekcija korisnika društvene mreže rootkitom, preuzimanje kontrole nad pregledačima korisnika i krađa lozinki i kolačića pregledača kako bi se moglo pristupiti Facebook nalozima.

Grupa je tražila naloge korisnika koji su svom profilu dodali neki od metoda plaćanja. SilentFade je kupovao Facebook oglase koristeći novac žrtava.

Uprkos tome što je radila samo nekoliko meseci, Facebook je rekao da je grupa uspela da prevari zaražene korisnike za više od 4 miliona dolara, koje je koristila za postavljanje zlonamernih oglasa na društvenoj mreži. Oglasi, koji su se obično prikazivali shodno lokaciji zaraženog korisnika, da bi se ograničila njihova vidljivost, imali su sličan obrazac. Grupa je koristila skraćivače URL-ova i slike poznatih ličnosti kako bi privukla korisnike na sajtove na kojima se prodaju sumnjivi proizvodi, poput proizvoda za mršavljenje, keto tableta i još mnogo toga.

Facebook je otkrio poslove SilentFadea u februaru 2019. godine, nakon što je počeo da od korisnika dobija prijave o sumnjivim aktivnostima i neovlašćenim transakcijama sa njihovih naloga.

Istraga je otkrila da napadi grupe datiraju još od 2016. godine. Stručnjaci iz Facebooka pratili su aktivnosti grupe što ih je dovelo do kineske kompanije i dva programera, koje je kompanija tužila u decembru 2019. godine.

Grupa SilentFade počela je sa radom 2016. godine, kada je prvi put razvila malver nazvan SuperCPA, prvenstveno usmeren protiv kineskih korisnika.

Facebook kaže da je grupa napustila malver SuperCPA 2017. godine kada je razvila prvu verziju malvera SilentFade. Ova rana verzija sadržala je rootkit i inficirala je pregledače da bi krala lozinke za Facebook i Twitter naloge, sa fokusom na verifikovane i profile sa velikim brojem pratilaca.

SilentFade je ubrzao razvoj malvera 2018. godine kada je nastala njegova najopasnija verzija, ona koja se koristila u napadima 2018. i 2019. godine.

Facebook kaže da je grupa širila tu verziju SilentFadea spajajući je sa legitimnim softverom koji su nudili korisnicima. Facebook je rekao da je pronašao oglase dva programera SilentFadea objavljene na hakerskim forumima iz kojih se vidi da su bili spremni da kupuju veb saobraćaj sa hakovanih veb sajtova ili iz drugih izvora, i da je taj saobraćaj preusmeravan na stranice koje hostuju softverske pakete zaražene SilentFadeom.

Kada bi se korisnici zarazili, SilentFadeov rootkit preuzimao je kontrolu nad Windows računarom žrtve, ali umesto da zloupotrebljava sistem, on je samo menjao legitimne DLL fajlove u instalacijama pregledača zlonamernim verzijama istog DLL-a koji je omogućavao grupi SilentFade kontrolu nad pregledačem. Ciljani pregledači su bili Chrome, Firefox, Internet Explorer, Opera, Edge, Orbitum, Amigo, Touch, Kometa i Yandex. Zlonamerni DLL-ovi krali su lozinke sačuvane u pregledaču, ali što je još važnije, kolačiće sesija pregledača. SilentFade je zatim koristio kolačiće Facebook sesije da bi pristupio žrtvinom Facebook nalogu, bez potrebe da unose lozinku ili 2FA token, prolazeći kao legitimni i već provereni vlasnik naloga. Ovde je SilentFade pokazao svoju istinsku sofisticiranost.

Facebook je rekao da je malver onemogućavao mnoge sigurnosne funkcije društvene mreže, pa čak i koristio nepoznate ranjivosti platforme kako bi sprečio korisnike da ponovo omoguće onemogućene funkcije.

Facebook je objasnio da je grupa SilentFade koristila kontrolu nad pregledačem da bi pristupila odeljku za podešavanja Facebooka i onemogućila obaveštenja sa sajta, zvuk obaveštenja o poruci, SMS obaveštenja, email obaveštenja bilo koje vrste i obaveštenja u vezi sa stranicama. Na taj način grupa je sprečavala da korisnici saznaju da je neko pristupao njihovom nalogu ili da je objavljivao oglase u njihovo ime.

Ali SilentFade se ovde nije zaustavio. Znajući da Facebookovi bezbednosni sistemi mogu otkriti sumnjive aktivnosti i obavestiti korisnika preko privatne poruke, grupa SilentFade je takođe blokirala Facebook for Business i Facebook Login Alerts koji su pre svega slali ove privatne poruke.

Grupa SilentFade je zatim koristila grešku na Facebook platformi i zloupotrebljavala je svaki put kada bi korisnik pokušao da odblokira nalog.

„Ovo je prvi put da smo primetili da malver aktivno menja podešavanja obaveštenja, blokira stranice i iskorišćava grešku u podsistemu za blokiranje kako bi opstao na kompromitovanom nalogu“, rekao je Facebook.

Ali upravo korišćenje ove greške povezane sa obaveštavanjem pomoglo je Facebooku da otkrije ugrožene naloge, proceni razmere delovanja SilentFadea i mapira zloupotrebu korisničkih naloga.

Facebook je rekao da je ispravio ovaj bag, poništio blokiranje obaveštenja za koje je odgovoran malver i vratio novac svim korisnicima čiji su nalozi zloupotrebljeni za kupovinu zlonamernih Facebook oglasa.

Kompanija se takođe nije zaustavila ovde. Njeni stručnjaci su pratili tragove grupe tokom 2019. godine i otkrili GitHub nalog povezan sa grupom i kompanijom ILikeAd Media International Company Ltd., hongkonškom softverskom kompanijom koja je osnovana 2016. godine, i dvojicom ljudi koji stoje iza nje - Čen Ksiao Congom i Huang Taom. Facebook je u decembru 2019. godine tužio kompaniju i dva programera, a postupak protiv njih je još uvek u toku.

Facebook je takođe rekao da je SilentFade deo trenda i nove generacije kineskih sajber-kriminalaca koji uporno napadaju njegovu platformu.