Хакеры атакуют пользователей Facebook с помощью рекламы порнографических изображений

Исследователи по кибербезопасности из румынской компании Bitdefender Labs, разработчика антивирусного программного обеспечения и программного обеспечения для кибербезопасности, поделились подробностями новой волны мошенничества с использованием вредоносного ПО, нацеленного на рекламную сеть Facebook Meta с целью кражи данных пользователей посредством развертывания вредоносного ПО NodeStealer.

NodeStealer был впервые обнаружен Meta (материнская компания Facebook, Instagram) в мае 2023 года. Последняя версия NodeStealer написана на языке программирования Python (ранее — язык программирования JavaScript), широко используемом в веб-приложениях, разработке программного обеспечения, науке о данных и машинном обучении. Она способна собирать файлы cookie и пароли, хранящиеся в веб-браузерах, для кражи учетных записей Facebook, Gmail и Outlook.

Это инструмент для кражи конфиденциальных данных пользователей, включая файлы cookie и пароли браузера. Он позволяет операторам получать контроль над аккаунтами Facebook, Gmail, Outlook и других.

Исследователи безопасности Bitdefender заявили, что когда пользователь нажимает на вредоносную рекламу (с использованием откровенных изображений), браузер немедленно загружает файл PhotoAlbum.exe. Если жертва открывает файл, загружается последняя версия вредоносного ПО NodeStealer.

Компания Meta подверглась атаке вредоносного ПО, в частности, в сети ее аккаунтов Facebook Business, где злоумышленники попытались украсть учетные данные и платежные данные пользователей.

Согласно сообщению в блоге Bitdefender, опубликованному 31 октября 2023 года, инструмент Meta Ads Manager активно используется в этих мошеннических схемах. Исследователи обнаружили, что кампания нацелена на пользователей Facebook мужского пола из Африки, Европы и стран Карибского бассейна в возрасте от 18 до 65 лет, но преимущественно на мужчин старше 45 лет.

Согласно исследованию Bitdefender, киберпреступники теперь атакуют не только бизнес-аккаунты, но и обычных пользователей Facebook. Злоумышленники используют рекламные кредиты взломанных бизнес-аккаунтов для показа вводящей в заблуждение рекламы, зараженной вредоносным ПО, которая затем распространяется среди ничего не подозревающих пользователей.

Кампания включала в себя показ рекламы с откровенными изображениями молодых женщин. Для этого злоумышленники создали страницы в Facebook, где размещали поддельную рекламу с рядом откровенных фотографий молодых женщин, многие из которых были созданы с помощью искусственного интеллекта, отредактированы в Photoshop или иным образом изменены. По данным исследователей, некоторые поддельные профили выполняли схожие операции:

· Обновление альбома.

· Обновление личного альбома.

· Обновление новостей Album Girl.

· Горячее обновление альбома сегодня.

· Сегодня вышло новое обновление альбома.

· Сегодняшнее обновление личного альбома.

Эти альбомы ссылаются на репозитории Gitlab или Bitbucket, где размещены архивы с исполняемыми файлами Windows, и устанавливают новую версию похитителя информации NodeStealer. Злоумышленники также заманивают пользователей короткими описаниями, предлагая им скачать медиаархивы. Например, они публикуют подписи вроде «Посмотрите, пока не удалили» и «Новый контент онлайн сегодня».

Когда ничего не подозревающий пользователь нажимает на рекламу или фотографию, он перенаправляется на вредоносный веб-сайт и получает предложение загрузить файл под названием «Фотоальбом». Это архивный файл, содержащий вредоносный исполняемый файл.

Более того, после установки NodeStealer на устройство жертвы он начинает красть данные, такие как логины аккаунтов Facebook, файлы cookie браузера и другие личные данные, которые злоумышленник затем использует для захвата аккаунта. Всего за 10 дней было зафиксировано 100 000 загрузок потенциального вредоносного ПО, а одно рекламное объявление привлекло около 15 000 загрузок в течение 24 часов.

Hackread сообщал о предыдущей кампании, в ходе которой хакеры захватили корпоративные аккаунты Facebook с помощью NodeStealer 2.0 и похитили криптовалюту. Кампания была обнаружена в августе исследователями американской многонациональной компании по кибербезопасности Palo Alto Networks.

Пока неясно, какая именно киберпреступная группировка стоит за этой кампанией. Однако эксперты по безопасности предупреждают пользователей Facebook о необходимости проявлять осторожность при нажатии на рекламу или посещении веб-сайтов.

По словам экспертов по безопасности, чтобы ограничить атаки, владельцам аккаунтов Facebook необходимо всегда использовать решения по безопасности на своих устройствах, используя надежные пароли и активируя двухфакторную аутентификацию в настройках, а также всегда обновлять последние версии решений по безопасности.

Кроме того, пользователи Facebook должны помнить, что дружить следует только с теми людьми, которых они знают и которым доверяют; не нажимайте на ссылки и не загружайте вложения от незнакомцев, а также сообщайте Facebook о подозрительных действиях.