Cybersecurity -onderzoekers hebben twee nieuwe campagnes bekendgemaakt die nepbrowservertensies bedienen met behulp van kwaadaardige advertenties en nepwebsites om gevoelige gegevens te stelen.
De Malvertising -campagne, Per Bitdefender, is ontworpen om nep “meta -geverifieerde” browserverlengingen te duwen die wordt genoemd SocialMetrics Pro Die bewering om de Blue Check -badge voor Facebook- en Instagram -profielen te ontgrendelen. Er zijn ten minste 37 kwaadaardige advertenties waargenomen die de betreffende uitbreiding hebben.
“De kwaadaardige advertenties zijn gebundeld met een video-tutorial die kijkers begeleidt door het downloaden en installeren van een zogenaamde browserverlenging, die beweert de blauwe verificatie-tik op Facebook of andere speciale functies te ontgrendelen,” zei de Roemeense cybersecurity Vendor.
Maar in werkelijkheid is de extensie – die wordt gehost op een legitieme cloudservice genaamd Box – in staat om sessiekoekjes van Facebook te verzamelen en ze naar een telegram -bot te sturen die wordt bestuurd door de aanvallers. Het is ook uitgerust om het IP -adres van het slachtoffer te verkrijgen door een query naar Ipinfo (.) IO/JSON te sturen.
Selecteer varianten van de rogue-browser-add-on zijn waargenomen met behulp van de gestolen cookies om te communiceren met de Facebook-grafiek API om waarschijnlijk aanvullende informatie met betrekking tot de accounts op te halen. In het verleden heeft malware zoals nodestealer de Facebook -grafiek -API gebruikt om budgetgegevens van het account te verzamelen.
Het einddoel van deze inspanningen is om waardevolle Facebook-bedrijven en advertenties op ondergrondse forums te verkopen voor winst voor andere fraudeurs, of ze opnieuw te gebruiken om meer malvertiserende campagnes te voeden, die op zijn beurt leiden tot meer gekaapte accounts-effectief creëren van een zelfvoorzienende cyclus.
De campagne vertoont alle “vingerafdrukken” die meestal worden geassocieerd met Vietnamese sprekende dreigingsacteurs, waarvan bekend is dat ze verschillende Stealer-families aannemen om niet-geautoriseerde toegang tot Facebook-accounts te krijgen en te krijgen. Deze hypothese wordt ook versterkt door het gebruik van Vietnamezen om de tutorial te vertellen en broncode -opmerkingen toe te voegen.
“Door een vertrouwd platform te gebruiken, kunnen aanvallers links massaal worden, ze automatisch insluiten in tutorials en hun campagnes continu vernieuwen,” zei Bitdefender. “Dit past op een groter patroon van aanvallers die malvertisatie industrialiseren, waarbij alles van advertentie -afbeeldingen tot tutorials massaal wordt gemaakt.”
De openbaarmaking valt samen met een andere campagne die gericht is op meta-adverteerders met malafide Chrome-extensies die zijn gedistribueerd via namaakwebsites die zich voordoen als kunstmatige intelligentie (AI) -gestuurde advertentie-optimalisatiehulpmiddelen voor Facebook en Instagram. De kern van de operatie is een nepplatform met de naam Madgicx Plus.
“Gepromoveerd als een hulpmiddel om campagnebeheer te stroomlijnen en ROI te stimuleren met behulp van kunstmatige intelligentie, biedt de extensie in plaats daarvan potentieel kwaadaardige functionaliteiten die in staat zijn om bedrijfssessies te kapen, referenties te stelen en meta -bedrijfsaccounts in gevaar te brengen,” zei Cyberason.
“De extensies worden gepromoot als productiviteits- of advertentieprestatieverheterers, maar ze werken als dual-purpose malware die in staat is om referenties te stelen, toegang te krijgen tot sessie-tokens of het inschakelen van accountovername.
De extensies, waarvan de eerste nog steeds beschikbaar is om te downloaden vanuit de Chrome Web Store, worden hieronder vermeld – worden vermeld –
Eenmaal geïnstalleerd, krijgt de extensie volledige toegang tot alle websites die de gebruiker bezoeken, waardoor de dreigingsactoren willekeurige scripts kunnen injecteren, evenals het onderscheppen en wijzigen van netwerkverkeer, het monitoren van de browse -activiteit, het vastleggen van invoerinvoer en het oogsten van gevoelige gegevens.
Het vraagt gebruikers ook om hun Facebook- en Google -accounts te koppelen om toegang te krijgen tot de service, terwijl hun identiteitsinformatie op de achtergrond heimelijk wordt geoogst. Bovendien functioneren de add-ons op dezelfde manier als de bovengenoemde nep-meta-geverifieerde extensie doordat het de gestolen Facebook-referenties van slachtoffers gebruikt om te communiceren met de Facebook-grafiek API.
“Deze geënsceneerde aanpak onthult een duidelijke strategie voor dreigingsacteur: eerst het vastleggen van Google-identiteitsgegevens en vervolgens draaien naar Facebook om de toegang te verbreden en de kansen om waardevolle zaken of advertentieactiva te kapen te vergroten,” zei Cyberason.
