Reclame infectate pe Facebook, prin bugetele de publicitate ale companiilor

Experți în securitate informatică de la Bitdefender au descoperit o campanie agresivă de răspândire de amenințări informatice derulată într-un mod inedit: hackerii controlează paginile de Facebook ale unor companii și folosesc bugetele de publicitate pentru a afișa reclame provocatoare care vizează mai ales bărbați.

Scopul final este să păcălească victimele să acceseze aceste reclame și, ulterior, să își piardă conturile și datele personale.

NodeStealer

Cea mai recentă campanie NodeStealer descoperită de specialiștii în securitate informatică de la Bitdefender este o versiune îmbunătățită, la care infractorii cibernetici au adăugat noi funcții care le permit să obțină acces fraudulos pe platforme suplimentare (Gmail și Outlook) pentru a fura portofele cripto și a instala amenințări informatice.

NodeStealer este o amenințare informatică relativ nouă, descoperită de echipa de securitate din cadrul Meta în ianuarie 2023, care permite atacatorilor să fure cookie-uri din browser și să preia controlul asupra conturilor Facebook Business, fără a fi necesare alte interacțiuni cu victima, ocolind chiar și mecanismele de securitate, precum autentificarea în doi pași.

Cum funcționează

Cum funcționează campania

Pentru a obține acces la conturile utilizatorilor, infractorii cibernetici folosesc bugetele alocate reclamelor pe conturile de Facebook Business deja compromise și distribuie reclame către publicul-țintă selectat. Atacatorii creează o pagină de Facebook sub numele „Actualizare album” unde adaugă fotografii cu femei tinere în ipostaze provocatoare și folosesc descrieri scurte pentru a-i atrage pe utilizatori să descarce arhiva media: „Vizionați acum înainte de a fi șterse”. 

Albumele redirecționează utilizatorii către Bitbucket sau Gitlab care stochează o arhivă ce conține un executabil Windows prin care sunt instalate versiuni mai noi ale amenințări NodeStealer pe dispozitivele utilizatorilor. Odată ce infractorii cibernetici obțin acces la cookie-urile utilizatorilor folosind funcțiile de bază ale NodeStealer, ei preiau conturile de Facebook și accesează informații sensibile.  

Iată principalele descoperiri ale cercetării efectuate în octombrie 2023 de către cercetătorii Bitdefender:  

• Reclamele distribuie o versiune mai nouă a amenințării informatice NodeStealer. 
• Specialiștii Bitdefender au descoperit că există cel puțin zece conturi de Facebook compromise aparținând unor companii, care continuă să distribuie publicului reclame periculoase. 
• Mai multe iterații ale aceluiași anunț au fost folosite în aproximativ 140 de campanii publicitare periculoase. 
• Atacatorii au folosit simultan cel mult cinci reclame active pe care le-au alternat constant pentru a încerca să evite raportările utilizatorilor. 
• Reclamele au afișat fotografii cu femei tinere în ipostaze provocatoare ca să atragă victimele să descarce amenințări informatice. 
• Amenințarea este distribuită prin fișiere executabile Windows disimulate în albume foto. 
• Circa 100.000 de potențiale descărcări sunt estimate de către cercetătorii BItdefender, un singur anunț având până la 15.000 de accesări în doar 24 de ore. 
• Cel mai vizat segment îl reprezintă bărbații de peste 45 de ani.