Certains articles de veille peuvent faire l'objet de traduction automatique.
Habituellement quand vous entendre parler d’une activité malveillante sur Facebook, elle est liée à une sorte de sottise géopolitique. Mais jeudi, la société a détaillé une campagne hors de Chine qui n’était pas axée sur la désinformation ou le vol de données de compte. Les pirates ont plutôt volé les informations d’identification des utilisateurs et ont eu accès à leurs comptes dans un autre but: colporter des pilules amaigrissantes, des produits de santé sexuelle et de faux sacs à main, chaussures et lunettes de soleil de créateurs.
Une fois dans le compte d’un utilisateur Facebook compromis, les attaquants utiliseraient le mode de paiement associé pour acheter des publicités malveillantes, drainant finalement 4 millions de dollars des victimes pendant leur frénésie. Facebook a détecté les attaques pour la première fois fin 2018, et après une enquête approfondie, la société intenté une action civile contre une entreprise, ILikeAd Media International Company Ltd., et deux ressortissants chinois qui auraient développé le malware et lancé les attaques. Aujourd’hui, lors de la conférence sur la sécurité du Digital Virus Bulletin, les chercheurs de Facebook ont présenté une image détaillée du fonctionnement réel du logiciel malveillant, surnommé SilentFade, et de certaines de ses nouvelles méthodes, notamment le blocage proactif des notifications d’un utilisateur afin que la victime ne sache pas que quelque chose clochait .
« Nous avons découvert SilentFade pour la première fois en décembre 2018, lorsqu’un pic de trafic suspect sur un certain nombre de points de terminaison Facebook a indiqué une possible attaque de compromission de compte basée sur des logiciels malveillants pour fraude publicitaire », a déclaré Sanchit Karve, chercheur en malwares sur Facebook, lors d’un appel avec des journalistes avant son bulletin de virus présentation. « SilentFade volait les identifiants Facebook et les cookies de divers magasins d’identifiants de navigateur. Les comptes ayant accès à un mode de paiement lié seraient ensuite utilisés pour diffuser des publicités sur Facebook. »
Les attaquants ne pouvaient pas accéder aux numéros de carte de crédit réels ou aux détails du compte de paiement à partir de Facebook, mais une fois à l’intérieur d’un compte, ils pouvaient utiliser n’importe quelle méthode de paiement que Facebook avait dans ses fichiers, le cas échéant, pour acheter des publicités. Facebook a ensuite remboursé un nombre non spécifié d’utilisateurs pour les 4 millions de dollars de frais publicitaires frauduleux.
SilentFade était souvent distribué en le regroupant avec des copies piratées de logiciels de marque; lorsqu’une victime télécharge le programme qu’elle souhaite, son appareil est également infecté par SilentFade. À partir de là, le logiciel malveillant rechercherait des cookies Facebook spéciaux dans Chrome, Firefox et d’autres navigateurs populaires. Ces cookies étaient précieux pour les attaquants, car ils contiennent des «jetons de session» qui sont générés après qu’un utilisateur se connecte avec son nom d’utilisateur, son mot de passe et toutes les entrées d’authentification à deux facteurs requises. Si vous pouvez récupérer un jeton de session, vous obtenez un moyen facile de valser dans le compte Facebook de quelqu’un sans rien d’autre. Si le logiciel malveillant ne pouvait pas trouver les bons cookies, il collecterait directement les informations de connexion Facebook d’un utilisateur, mais il aurait tout de même besoin de les déchiffrer.
Les attaquants configuraient même leurs systèmes pour qu’ils semblent se trouver dans la même région générale que celle dans laquelle se trouvait la victime lorsqu’ils ont généré leur jeton de session. De cette façon, Facebook penserait que l’activité n’était qu’une connexion normale de la part de l’utilisateur au cours de sa journée et non une activité suspecte d’une région différente.
SilentFade avait également d’autres tactiques sournoises. Il a désactivé de manière proactive les notifications Facebook sur le compte d’une victime afin qu’elle ne soit pas avertie d’une nouvelle connexion ou ne voie pas les alertes ou les messages sur les campagnes publicitaires exécutées à partir de leurs comptes. Et il a même exploité une vulnérabilité dans les mécanismes de validation de Facebook pour empêcher les utilisateurs de réactiver leurs notifications «Alertes de connexion» et «Pages d’affaires Facebook». Facebook dit qu’il a travaillé rapidement pour corriger le bogue et arrêter cette nouvelle méthode de persistance.
En plus de toutes ces astuces, les attaquants ont également utilisé des techniques d’obscurcissement du côté du réseau publicitaire pour masquer le vrai contenu de leurs publicités en soumettant différents matériaux et sites Web sources pour examen que ce qu’ils ont ensuite inséré dans les publicités diffusées.
«Ils ont utilisé une variété de mécanismes de dissimulation et de redirection du trafic pour cacher leurs traces», a déclaré Rob Leathern, directeur de la gestion des produits de Facebook. « Ces techniques de camouflage sont celles qui camouflent le véritable site Web de la page de destination en les modifiant de manière dynamique pendant et après le processus d’examen des annonces afin de montrer aux utilisateurs différents sites par rapport à notre processus d’examen des annonces. Le contenu des annonces présentait souvent des célébrités comme une tactique pour attirer l’attention. En interne, c’est quelque chose que nous appelons « celeb-bait », et c’est un problème qui préoccupe l’industrie de la publicité en ligne depuis plus d’une décennie. «
Poster un commentaire