Компрометирани бизнес акаунти във Facebook се използват за пускане на фалшиви реклами, които използват „разкриващи снимки на млади жени“ като примамка, за да подмамят жертвите да изтеглят актуализирана версия на зловреден софтуер, наречен NodeStealer.
„Щракването върху рекламите незабавно изтегля архив, съдържащ злонамерен .exe файл „Photo Album“, който пуска и втори изпълним файл, написан на .NET – този полезен товар отговаря за кражбата на бисквитки и пароли от браузъра“, казва Bitdefender в доклад, публикуван тази седмица.
NodeStealer е разкрит за първи път от Meta през май 2023 г. като зловреден софтуер на JavaScript, предназначен да улесни превземането на акаунти във Facebook. Оттогава заплахите, които стоят зад операцията, използват в своите атаки вариант, базиран на Python.
Зловредният софтуер е част от разрастваща се екосистема за киберпрестъпност във Виетнам, където множество групи използват припокриващи се методи, които включват предимно рекламиране като вектор във Facebook за разпространение.
Последната кампания, открита от румънската фирма за киберсигурност, не се различава по това, че злонамерените реклами се използват като канал за компрометиране на профилите на потребителите във Facebook.
„Инструментът за управление на реклами на Meta се използва активно в тези кампании, за да се насочи към потребители от мъжки пол във Facebook, на възраст от 18 до 65 години от Европа, Африка и Карибите“, заяви Bitdefender. „Най-силно засегнатите демографски групи са мъже над 45 години.“
Освен че разпространяват зловредния софтуер чрез изпълними файлове за Windows, маскирани като фотоалбуми, атаките са разширили таргетирането си, за да включат обикновени потребители на Facebook. Изпълнимите файлове се хостват като легитимни.
Крайната цел на атаките е да се използват откраднатите бисквитки, за да се заобиколят механизмите за сигурност като двуфакторното удостоверяване и да се променят паролите, като по този начин жертвите ефективно се блокират от собствените си акаунти.
„Независимо дали става дума за кражба на пари или за измама на нови жертви чрез отвлечени акаунти, този тип злонамерени атаки позволяват на кибермошениците да останат под радара, като се промъкнат покрай защитите за сигурност на Meta“, казват изследователите.
По-рано през август тази година HUMAN разкри друг вид атака за превземане на акаунти, наречена Capra, насочена към платформи за залагания чрез използване на откраднати имейл адреси за определяне на регистрираните адреси и влизане в акаунтите.
Разработката идва в момент, когато Cisco Talos подробно описа няколко измами, насочени към потребителите на платформата за игри Roblox с фишинг линкове, които имат за цел да прихванат идентификационните данни на жертвите и да откраднат Robux – валута в приложението, която може да се използва за закупуване на подобрения за техните аватари или за купуване на специални способности в преживяванията.
„Потребителите на „Roblox“ могат да станат мишена на измамници (наричани от играчите на „Roblox“ „beamers“), които се опитват да откраднат ценни предмети или Robux от други играчи“, заяви изследователят по сигурността Тиаго Перейра.
„Понякога това може да бъде улеснено от измамниците поради младата потребителска база на „Roblox“. Почти половината от 65-те милиона потребители на играта са на възраст под 13 години, които може да не са толкова умели в забелязването на измами.“
Тя следва и откритието на CloudSEK за двугодишна кампания за събиране на данни, провеждана в Близкия изток чрез мрежа от около 3500 фалшиви домейна, свързани с недвижими имоти в региона, с цел събиране на информация за купувачи и продавачи и разпространяване на данните в подземни форуми.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.