Компрометирани бизнес акаунти във Facebook се използват за пускане на фалшиви реклами, които използват „разкриващи снимки на млади жени“ като примамка, за да подмамят жертвите да изтеглят актуализирана версия на зловреден софтуер, наречен NodeStealer.

„Щракването върху рекламите незабавно изтегля архив, съдържащ злонамерен .exe файл „Photo Album“, който пуска и втори изпълним файл, написан на .NET – този полезен товар отговаря за кражбата на бисквитки и пароли от браузъра“, казва Bitdefender в доклад, публикуван тази седмица.

NodeStealer е разкрит за първи път от Meta през май 2023 г. като зловреден софтуер на JavaScript, предназначен да улесни превземането на акаунти във Facebook. Оттогава  заплахите, които стоят зад операцията, използват в своите атаки вариант, базиран на Python.

Зловредният софтуер е част от разрастваща се екосистема за киберпрестъпност във Виетнам, където множество групи използват припокриващи се методи, които включват предимно рекламиране като вектор във Facebook за разпространение.

Последната кампания, открита от румънската фирма за киберсигурност, не се различава по това, че злонамерените реклами се използват като канал за компрометиране на профилите на потребителите във Facebook.

„Инструментът за управление на реклами на Meta се използва активно в тези кампании, за да се насочи към потребители от мъжки пол във Facebook, на възраст от 18 до 65 години от Европа, Африка и Карибите“, заяви Bitdefender. „Най-силно засегнатите демографски групи са мъже над 45 години.“

Освен че разпространяват зловредния софтуер чрез изпълними файлове за Windows, маскирани като фотоалбуми, атаките са разширили таргетирането си, за да включат обикновени потребители на Facebook. Изпълнимите файлове се хостват като легитимни.

Крайната цел на атаките е да се използват откраднатите бисквитки, за да се заобиколят механизмите за сигурност като двуфакторното удостоверяване и да се променят паролите, като по този начин жертвите ефективно се блокират от собствените си акаунти.

„Независимо дали става дума за кражба на пари или за измама на нови жертви чрез отвлечени акаунти, този тип злонамерени атаки позволяват на кибермошениците да останат под радара, като се промъкнат покрай защитите за сигурност на Meta“, казват изследователите.

По-рано през август тази година HUMAN разкри друг вид атака за превземане на акаунти, наречена Capra, насочена към платформи за залагания чрез използване на откраднати имейл адреси за определяне на регистрираните адреси и влизане в акаунтите.

Разработката идва в момент, когато Cisco Talos подробно описа няколко измами, насочени към потребителите на платформата за игри Roblox с фишинг линкове, които имат за цел да прихванат идентификационните данни на жертвите и да откраднат Robux – валута в приложението, която може да се използва за закупуване на подобрения за техните аватари или за купуване на специални способности в преживяванията.

„Потребителите на „Roblox“ могат да станат мишена на измамници (наричани от играчите на „Roblox“ „beamers“), които се опитват да откраднат ценни предмети или Robux от други играчи“, заяви изследователят по сигурността Тиаго Перейра.

„Понякога това може да бъде улеснено от измамниците поради младата потребителска база на „Roblox“. Почти половината от 65-те милиона потребители на играта са на възраст под 13 години, които може да не са толкова умели в забелязването на измами.“

Тя следва и откритието на CloudSEK за двугодишна кампания за събиране на данни, провеждана в Близкия изток чрез мрежа от около 3500 фалшиви домейна, свързани с недвижими имоти в региона, с цел събиране на информация за купувачи и продавачи и разпространяване на данните в подземни форуми.