Cercetătorii de la Bitdefender au descoperit o campanie agresivă de răspândire de amenințări informatice derulată într-un mod inedit: hackerii controlează paginile de Facebook ale unor companii și folosesc bugetele de publicitate pentru a afișa reclame provocatoare care vizează mai ales bărbați. Scopul final este să păcălească victimele să acceseze aceste reclame și, ulterior, să își piardă conturile și datele personale.
Cea mai recentă campanie NodeStealer descoperită de specialiștii în securitate informatică de la Bitdefender este o versiune îmbunătățită, la care infractorii cibernetici au adăugat noi funcții care le permit să obțină acces fraudulos pe platforme suplimentare (Gmail și Outlook) pentru a fura portofele cripto și a instala amenințări informatice. NodeStealer este o amenințare informatică relativ nouă, descoperită de echipa de securitate din cadrul Meta în ianuarie 2023, care permite atacatorilor să fure cookie-uri din browser și să preia controlul asupra conturilor Facebook Business, fără a fi necesare alte interacțiuni cu victima, ocolind chiar și mecanismele de securitate, precum autentificarea în doi pași.
Iată principalele descoperiri ale cercetării efectuate în octombrie 2023:
- Reclamele distribuie o versiune mai nouă a amenințării informatice NodeStealer.
- Specialiștii au descoperit că există cel puțin zece conturi de Facebook compromise aparținând unor companii, care continuă să distribuie publicului reclame periculoase.
- Mai multe iterații ale aceluiași anunț au fost folosite în aproximativ 140 de campanii publicitare periculoase.
- Atacatorii au folosit simultan cel mult cinci reclame active pe care le-au alternat constant pentru a încerca să evite raportările utilizatorilor.
- Reclamele au afișat fotografii cu femei tinere în ipostaze provocatoare ca să atragă victimele să descarce amenințări informatice.
- Amenințarea este distribuită prin fișiere executabile Windows disimulate în albume foto.
- Circa 100.000 de potențiale descărcări sunt estimate de către cercetători, un singur anunț având până la 15.000 de accesări în doar 24 de ore.
- Cel mai vizat segment îl reprezintă bărbații de peste 45 de ani.
Cum funcționează campania
Pentru a obține acces la conturile utilizatorilor, infractorii cibernetici folosesc bugetele alocate reclamelor pe conturile de Facebook Business deja compromise și distribuie reclame către publicul-țintă selectat. Atacatorii creează o pagină de Facebook sub numele „Actualizare album” unde adaugă fotografii cu femei tinere în ipostaze provocatoare și folosesc descrieri scurte pentru a-i atrage pe utilizatori să descarce arhiva media: „Vizionați acum înainte de a fi șterse”. Albumele redirecționează utilizatorii către Bitbucket sau Gitlab care stochează o arhivă ce conține un executabil Windows prin care sunt instalate versiuni mai noi ale amenințări NodeStealer pe dispozitivele utilizatorilor. Odată ce infractorii cibernetici obțin acces la cookie-urile utilizatorilor folosind funcțiile de bază ale NodeStealer, ei preiau conturile de Facebook și accesează informații sensibile.
Recomandări pentru utilizatori
- Instalați și mențineți actualizată o soluție de securitate informatică pentru a vă apăra împotriva atacurilor lansate prin linkuri de phishing, fișiere atașate sau reclame.
- Rămâneți mereu vigilenți în interacțiunile online și fiți precauți atunci când primiți linkuri nesolicitate asociate cu anunțuri alarmante care vă solicită să descărcați urgent fișiere.
- Evitați reclamele care îndeamnă la descărcarea albumelor foto din Bitbucket, Gitlab sau Dropbox.