Gecompromitteerde Facebook-bedrijfsaccounts worden gebruikt om valse advertenties weer te geven waarin ‘onthullende foto’s van jonge vrouwen’ worden gebruikt als lokmiddel om slachtoffers te misleiden zodat ze een bijgewerkte versie downloaden van een malware genaamd KnooppuntStealer.
“Als u op advertenties klikt, wordt onmiddellijk een archief gedownload dat een kwaadaardig .exe ‘Photo Album’-bestand bevat, dat ook een tweede uitvoerbaar bestand plaatst, geschreven in .NET – deze payload is verantwoordelijk voor het stelen van browsercookies en wachtwoorden”, zei Bitdefender in een rapport dat deze week werd gepubliceerd. .
NodeStealer werd in mei 2023 voor het eerst door Meta onthuld als een JavaScript-malware die is ontworpen om de overname van Facebook-accounts te vergemakkelijken. Sindsdien hebben de bedreigingsactoren achter de operatie bij hun aanvallen gebruik gemaakt van een op Python gebaseerde variant.
De malware maakt deel uit van een snelgroeiend ecosysteem van cybercriminaliteit in Vietnam, waar meerdere bedreigingsactoren gebruik maken van overlappende methoden, waarbij voor de verspreiding ervan voornamelijk reclame als vector op Facebook wordt gebruikt.
De nieuwste campagne die door het Roemeense cyberbeveiligingsbedrijf is ontdekt, is niet anders, omdat kwaadaardige advertenties worden gebruikt als kanaal om de Facebook-accounts van gebruikers in gevaar te brengen.
“Meta’s Ads Manager-tool wordt actief benut in deze campagnes om mannelijke gebruikers op Facebook, in de leeftijd van 18 tot 65 jaar, uit Europa, Afrika en het Caribisch gebied te targeten”, aldus Bitdefender. “De meest getroffen doelgroep zijn mannen van 45+.”
Naast het verspreiden van de malware via uitvoerbare Windows-bestanden, vermomd als fotoalbums, hebben de aanvallen hun doelwit uitgebreid naar gewone Facebook-gebruikers. De uitvoerbare bestanden worden gehost op legitiem.
Het uiteindelijke doel van de aanvallen is om de gestolen cookies te gebruiken om beveiligingsmechanismen zoals tweefactorauthenticatie te omzeilen en de wachtwoorden te wijzigen, waardoor slachtoffers effectief worden uitgesloten van hun eigen accounts.
“Of het nu gaat om het stelen van geld of het oplichten van nieuwe slachtoffers via gekaapte accounts, dit soort kwaadaardige aanvallen zorgt ervoor dat cybercriminelen onder de radar kunnen blijven door langs de veiligheidsvoorzieningen van Meta te sluipen”, aldus de onderzoekers.
Eerder dit augustus onthulde HUMAN een ander soort accountovername-aanval genaamd Capra, gericht op gokplatforms door gestolen e-mailadressen te gebruiken om geregistreerde adressen te bepalen en in te loggen op de accounts.
De ontwikkeling komt op het moment dat Cisco Talos verschillende oplichtingspraktijken heeft beschreven die zich richten op gebruikers van het Roblox-gamingplatform met phishing-links die tot doel hebben de inloggegevens van slachtoffers vast te leggen en Robux te stelen, een in-app-valuta die kan worden gebruikt om upgrades voor hun avatars te kopen of speciale vaardigheden te kopen. bij ervaringen.
“Roblox-gebruikers kunnen het doelwit zijn van oplichters (bekend als ‘beamers’ door ‘Roblox’-spelers) die proberen waardevolle items of Robux van andere spelers te stelen”, aldus beveiligingsonderzoeker Tiago Pereira.
“Dit kan soms gemakkelijker worden gemaakt voor de oplichters vanwege de jonge gebruikersbasis van Roblox. Bijna de helft van de 65 miljoen gebruikers van het spel is jonger dan 13 jaar en is misschien niet zo bedreven in het opmerken van oplichting.”
Het volgt ook op de ontdekking door CloudSEK van een twee jaar durende campagne voor het verzamelen van gegevens die plaatsvindt in het Midden-Oosten via een netwerk van ongeveer 3.500 nepdomeinen gerelateerd aan onroerend goed in de regio, met als doel informatie te verzamelen over kopers en verkopers, en te leuren met de gegevens op ondergrondse fora.
