Les pirates informatiques attaquent les utilisateurs de Facebook via des publicités avec des images pornographiques
(Baonghean.vn) - Les escrocs utilisent des publicités pornographiques générées par l'intelligence artificielle (IA) pour inciter les utilisateurs à télécharger et à installer le tristement célèbre malware NodeStealer.
Les chercheurs en cybersécurité du développeur roumain de logiciels antivirus et de cybersécurité Bitdefender Labs ont partagé les détails d'une nouvelle vague d'escroqueries basées sur des logiciels malveillants ciblant le réseau publicitaire Meta de Facebook pour voler les données des utilisateurs via le déploiement du malware NodeStealer.

NodeStealer a été découvert pour la première fois par Meta (société mère de Facebook, Instagram) en mai 2023. La dernière variante de NodeStealer est écrite dans le langage de programmation largement utilisé dans les applications Web, le développement de logiciels, la science des données et l'apprentissage automatique Python (anciennement le langage de programmation JavaScript), capable de collecter des cookies, des mots de passe stockés sur les navigateurs Web pour voler des comptes Facebook, Gmail et Outlook.
Il s'agit d'un outil de vol d'informations conçu pour voler les données sensibles des utilisateurs, notamment les cookies et les mots de passe de leur navigateur. Il permet aux opérateurs de prendre le contrôle de comptes Facebook, Gmail, Outlook et autres.
Les chercheurs en sécurité de Bitdefender ont indiqué que lorsqu'un utilisateur clique sur la publicité malveillante (qui utilise des images révélatrices), le navigateur télécharge immédiatement le fichier PhotoAlbum.exe. Si la victime ouvre le fichier, la dernière version du malware NodeStealer est téléchargée.
Meta a été touché par un logiciel malveillant, notamment sur son réseau de comptes Facebook Business, où des acteurs malveillants ont tenté de voler les informations de connexion et de paiement des utilisateurs.
Selon un article de blog de Bitdefender publié le 31 octobre 2023, l'outil Ads Manager de Meta est activement exploité dans ces escroqueries. Les chercheurs ont découvert que la campagne ciblait les utilisateurs masculins de Facebook d'Afrique, d'Europe et des Caraïbes âgés de 18 à 65 ans, mais principalement les hommes de plus de 45 ans.
Selon une étude de Bitdefender, les cybercriminels ciblent désormais les utilisateurs Facebook habituels, en plus des comptes professionnels. Les acteurs malveillants utilisent les crédits publicitaires des comptes professionnels piratés pour diffuser des publicités trompeuses et infectées par des logiciels malveillants, afin de les diffuser à des utilisateurs peu méfiants.
La campagne consistait à diffuser des publicités présentant des images sexuellement explicites de jeunes femmes. Pour ce faire, les attaquants ont créé des pages Facebook où ils diffusaient de fausses publicités présentant des photos osées de jeunes femmes, souvent générées par l'IA, retouchées ou autrement modifiées. Selon les chercheurs, certains faux profils effectuaient des opérations similaires :
· Mise à jour de l'album.
· Mise à jour de l'album privé.
· Mise à jour des actualités de Album Girl.
· Mise à jour de l'album chaud aujourd'hui.
· Nouvelle mise à jour de l'album aujourd'hui.
· Mise à jour privée de l'album aujourd'hui.
Ces albums renvoient vers des dépôts Gitlab ou Bitbucket hébergeant des archives contenant des exécutables Windows et installent une nouvelle variante du voleur d'informations NodeStealer. Les attaquants incitent également les utilisateurs à télécharger les archives multimédias avec de courtes descriptions. Par exemple, ils publient des légendes telles que « À regarder avant la suppression » et « Nouveau contenu en ligne aujourd'hui ».
Lorsqu'un utilisateur sans méfiance clique sur l'annonce ou la photo, il est redirigé vers un site web malveillant et invité à télécharger un fichier intitulé « Album photo ». Il s'agit d'un fichier d'archive contenant un exécutable malveillant.
De plus, une fois NodeStealer installé sur l'appareil de la victime, il commence à voler des données telles que les identifiants de connexion Facebook, les cookies du navigateur et d'autres données personnelles, que le pirate utilise ensuite pour prendre le contrôle du compte. En seulement 10 jours, ce malware potentiel a été téléchargé 100 000 fois, et une publicité a généré environ 15 000 téléchargements en 24 heures.
Hackread a rapporté une précédente campagne au cours de laquelle des pirates ont pris le contrôle de comptes professionnels Facebook à l'aide de NodeStealer 2.0 et ont volé des cryptomonnaies. La campagne a été découverte en août par des chercheurs de la multinationale américaine de cybersécurité Palo Alto Networks.
On ignore encore quel groupe cybercriminel est à l'origine de cette récente campagne. Cependant, les experts en sécurité recommandent aux utilisateurs de Facebook d'être prudents lorsqu'ils cliquent sur des publicités ou visitent des sites web.
Selon les experts en sécurité, pour limiter les attaques, les propriétaires de comptes Facebook doivent toujours utiliser des solutions de sécurité sur leurs appareils en utilisant des mots de passe forts et en activant l'authentification à deux facteurs dans les paramètres et en mettant toujours à jour les dernières solutions de sécurité.
En outre, les utilisateurs de Facebook doivent également noter qu'ils ne doivent se lier d'amitié qu'avec des personnes qu'ils connaissent et en qui ils ont confiance, ne pas cliquer sur des liens ou télécharger des pièces jointes provenant d'inconnus et signaler les activités suspectes à Facebook.