Les pirates informatiques attaquent les utilisateurs de Facebook via des publicités avec des images pornographiques
(Baonghean.vn) - Les escrocs utilisent des publicités pornographiques générées par l'intelligence artificielle (IA) pour inciter les utilisateurs à télécharger et à installer le célèbre malware NodeStealer.
Des chercheurs en cybersécurité du développeur roumain de logiciels antivirus et de cybersécurité Bitdefender Labs ont partagé les détails d'une nouvelle vague d'escroqueries basées sur des logiciels malveillants ciblant le réseau publicitaire Meta de Facebook pour voler les données des utilisateurs via le déploiement du malware NodeStealer.
NodeStealer a été découvert pour la première fois par Meta (société mère de Facebook, Instagram) en mai 2023. La dernière variante de NodeStealer est écrite dans le langage de programmation largement utilisé dans les applications Web, le développement de logiciels, la science des données et l'apprentissage automatique Python (anciennement le langage de programmation JavaScript), capable de collecter des cookies, des mots de passe stockés sur les navigateurs Web pour voler des comptes Facebook, Gmail et Outlook.
Il s'agit d'un outil de vol d'informations conçu pour dérober les données sensibles des utilisateurs, notamment les cookies et les mots de passe de leur navigateur. Il permet aux opérateurs de prendre le contrôle de comptes Facebook, Gmail, Outlook et autres.
Les chercheurs en sécurité de Bitdefender ont indiqué que lorsqu'un utilisateur clique sur la publicité malveillante (qui utilise des images révélatrices), le navigateur télécharge immédiatement le fichier PhotoAlbum.exe. Si la victime ouvre le fichier, la dernière version du malware NodeStealer est téléchargée.
Meta a été touché par des logiciels malveillants, notamment sur son réseau de comptes Facebook Business, où des acteurs malveillants ont tenté de voler les informations de connexion et de paiement des utilisateurs.
Selon un article de blog de Bitdefender publié le 31 octobre 2023, l'outil Gestionnaire de publicités de Meta est activement exploité dans ces escroqueries. Les chercheurs ont découvert que la campagne cible les utilisateurs masculins de Facebook d'Afrique, d'Europe et des Caraïbes âgés de 18 à 65 ans, mais principalement les hommes de plus de 45 ans.
Selon une étude de Bitdefender, les cybercriminels ciblent désormais les utilisateurs Facebook habituels, en plus des comptes professionnels. Les acteurs malveillants utilisent les crédits publicitaires des comptes professionnels piratés pour diffuser des publicités trompeuses et infectées par des logiciels malveillants, afin de les distribuer à des utilisateurs peu méfiants.
La campagne consistait à diffuser des publicités présentant des images sexuellement explicites de jeunes femmes. Pour ce faire, les attaquants ont créé des pages Facebook où ils diffusaient de fausses publicités présentant des photos osées de jeunes femmes, souvent générées par l'IA, retouchées ou autrement modifiées. Selon les chercheurs, certains faux profils effectuaient des activités similaires :
· Mise à jour de l'album.
· Mise à jour de l'album privé.
· Mise à jour des actualités de Album Girl.
· Mise à jour de l'album chaud aujourd'hui.
· Mettre à jour le nouvel album aujourd'hui.
· Mise à jour privée de l'album aujourd'hui.
Ces albums renvoient vers des dépôts Gitlab ou Bitbucket hébergeant l'archive, qui contient un exécutable Windows et installe une nouvelle variante du voleur d'informations NodeStealer. Les attaquants incitent également les utilisateurs à télécharger l'archive multimédia avec de courtes descriptions. Par exemple, ils ajoutent des légendes telles que « À regarder avant la suppression » et « Nouveau contenu en ligne aujourd'hui ».
Lorsqu'un utilisateur sans méfiance clique sur l'annonce ou la photo, il est redirigé vers un site web malveillant et invité à télécharger un fichier intitulé « Album photo ». Il s'agit d'un fichier d'archive contenant un exécutable malveillant.
De plus, une fois NodeStealer installé sur l'appareil d'une victime, il vole des données telles que les identifiants de compte Facebook, les cookies de navigation et d'autres données personnelles, que le pirate utilise ensuite pour prendre le contrôle du compte. En seulement 10 jours, ce malware potentiel a été téléchargé 100 000 fois, et une publicité a généré environ 15 000 téléchargements en 24 heures.
Hackread a rapporté une précédente campagne au cours de laquelle des pirates ont pris le contrôle de comptes professionnels Facebook à l'aide de NodeStealer 2.0 et volé des cryptomonnaies. Cette campagne a été découverte en août par des chercheurs de la multinationale américaine de cybersécurité Palo Alto Networks.
On ignore encore quel groupe cybercriminel est à l'origine de cette récente campagne. Cependant, les experts en sécurité recommandent aux utilisateurs de Facebook d'être prudents lorsqu'ils cliquent sur des publicités ou visitent des sites web.
Selon les experts en sécurité, pour limiter les attaques, les propriétaires de comptes Facebook doivent toujours utiliser des solutions de sécurité sur leurs appareils en utilisant des mots de passe forts et en activant l'authentification à deux facteurs dans les paramètres et en mettant toujours à jour les dernières solutions de sécurité.
En outre, les utilisateurs de Facebook doivent également noter qu'ils ne doivent se lier d'amitié qu'avec des personnes qu'ils connaissent et en qui ils ont confiance, ne pas cliquer sur des liens ni télécharger de pièces jointes provenant d'inconnus et signaler les activités suspectes à Facebook.
