Článek přečtěte do 4 min.

Útočníci se opět vrhli na tvůrce obsahu a firmy s novou malvertisingovou kampaní na platformě Meta. Tentokrát jsou škodlivé reklamy doprovázeny video tutoriálem, který diváky provede procesem stahování a instalace tzv. rozšíření prohlížeče, které údajně odemkne modré ověřovací zaškrtnutí na Facebooku nebo jiné speciální funkce.

Na první pohled to vypadá legitimně a možná i užitečně. Koneckonců, proč by se podvodníci obtěžovali nahráváním tutoriálů, kdyby nástroj opravdu nefungoval? Ale jak se říká: „Neexistuje nic jako oběd zdarma.“ Tento software není nic jiného než škodlivé rozšíření prohlížeče určené k krádeži vašich dat.

Nejméně 37 škodlivých reklam propagujících toto „rozšíření“ bylo propagováno stejným facebookovým účtem. Podle výzkumníka společnosti Bitdefender Ionuta Baltariua nesou jak tutoriály, tak kód otisky prstů vietnamsky mluvících hackerů.

Vyprávění videa a komentáře k kódu jsou napsány ve vietnamštině a vysvětlují, jak upravit proměnné, jako je velikost a umístění falešného ověřovacího fajfku. To ukazuje jasný záměr, aby nástroj vypadal přizpůsobitelně a fungoval pro vietnamsky mluvící publikum.

Bližší pohled na rozšíření odhalí kód, který se jeví jako generovaný umělou inteligencí. Je neohrabaný, slabě zahalený a plný generických názvů proměnných. Přesto stále plní svůj účel. Vložené komentáře zvýrazňují „nastavitelné části“ pro vlastní hodnoty, což naznačuje, že útočníci mohou rychle upravit a znovu nasadit nové varianty.

Snímek obrazovky počítačového kódu s obsahem generovaným umělou inteligencí může být nesprávný.
Snímek obrazovky s obsahem generovaným umělou inteligencí v počítačovém kódu může být nesprávný.
Bílé pozadí s černým textem. Obsah generovaný umělou inteligencí může být nesprávný.

Distribuční kanál přidává další vrstvu automatizace. Malware je hostován na Box.com (app.box.com), legitimní cloudové službě pro správu obsahu. Pomocí důvěryhodné platformy mohou útočníci hromadně generovat odkazy, automaticky je vkládat do tutoriálů a průběžně obnovovat své kampaně. To odpovídá širšímu vzorci útočníků, kteří industrializují malware, kde se hromadně vytváří vše od reklamních obrázků až po tutoriály.

Krádež souborů cookie z Facebooku, prodej firemních účtů

Po instalaci začne škodlivé rozšíření plnit svůj hlavní cíl – shromažďovat soubory cookie relace z Facebooku a odesílat je telegramovému botu ovládanému útočníky. Také shromažďuje IP adresu oběti prostřednictvím https://ipinfo.io/json.

Malware se ale nezastaví jen u krádeže souborů cookie prohlížeče. Některé varianty interagují přímo s rozhraním Facebook Graph API pomocí ukradených přístupových tokenů. To útočníkům umožňuje identifikovat firemní účty na Facebooku, což je cennější kořist než běžné profily. Jakmile jsou tyto účty identifikovány, jsou odcizeny a nabízeny k prodeji prostřednictvím kanálů Telegramu, kde jsou přihlašovací údaje inzerovány jako komodity.

Ukradené účty lze prodat na podzemních trzích za účelem zisku nebo je dokonce znovu použít v nových vlnách malwaru zaměřeného na jiné publikum.

Představte si to takto: ukradené účty financují a propagují další podvody, které následně generují ještě více ukradených účtů.

Tento vzorec jsme již dříve zdokumentovali. Začátkem tohoto roku jsme odhalili masivní malwarovou kampaň na Facebooku zneužívající kryptoměnové značky a další vlnu vydávající se za populární nástroje, jako jsou Bitwarden, Photoshop a CapCut. Tato nejnovější kampaň učí oběti, jak se samy nakazit.

Proč by tvůrci obsahu a malé firmy mohli naletět na tento podvod?

Tvůrci a firmy touží po modrém ověřovacím odznaku, protože signalizuje autenticitu, zvyšuje viditelnost a chrání před vydáváním se za jiného uživatele. Vzhledem k tomu, že Meta nyní vyžaduje pro ověření placené předplatné, podvodníci zneužívají touhu uživatelů po zkratkách tím, že nabízejí falešné nástroje, které slibují odznak zdarma.

Když je podvod prezentován jako jednoduchý video tutoriál v reklamě na Facebooku, vypadá přístupně i přesvědčivě, což uživatelům usnadňuje polevit v ostražitosti a nevědomky nainstalovat malware.

Proč je to důležité pro každého

  • Pro tvůrce a firmy: Ztráta kontroly nad firemním účtem na Facebooku může znamenat přes noc ztrátu vaší značky, publika a zdroje příjmů.
  • Pro běžné uživatele: I když se váš účet zdá „nedůležitý“, útočníci ho mohou zneužít k šíření dalších škodlivých reklam a podvodů mezi vaše přátele a rodinu.

Jak se chránit před podvody se škodlivou reklamou

  1. Buďte podezřívaví k reklamám nabízejícím „ověření“ nebo speciální nástroje. Facebook neuděluje modré fajfky prostřednictvím rozšíření prohlížeče.
  2. Nestahujte z reklamních odkazů. Vždy používejte oficiální zdroje, jako je Internetový obchod Chrome nebo doplňky Firefoxu.
  3. Zabezpečte své účty. Používejte silná a jedinečná hesla a povolte vícefaktorové ověřování.
  4. Využijte bezpečnostní nástroje. Použijte Bitdefender Scamio k analýze podezřelých odkazů a Bitdefender Digital Identity Protection ke sledování vaší digitální stopy a toho, zda vaše data nebyla odcizena a zobchodována.

Ochrana tvůrců a malých podniků

Podobné podvody cílí na tvůrce obsahu a malé firmy, protože ty se pro udržení viditelnosti, důvěryhodnosti a příjmů silně spoléhají na účty na sociálních sítích. Ztráta přístupu k jedinému účtu může znamenat narušení provozu na několik dní, nebo dokonce týdnů.

  • Bitdefender Security pro tvůrce obsahu nabízí specializovanou ochranu pro tvůrce, kteří jsou závislí na platformách jako Facebook, Instagram a YouTube. Chrání účty před pokusy o převzetí, phishingovými kampaněmi a malwarem zaměřeným na monetizaci obsahu.
  • Bitdefender Ultimate Small Business Security poskytuje malým týmům ochranu na podnikové úrovni před hrozbami, jako jsou škodlivá rozšíření prohlížeče, phishingové útoky a ransomware. Je navržen tak, aby zajistil bezpečnost obchodních operací – a to i v případě, že kyberzločinci cílí na firemní účty na Facebooku.

Zdroj: Bitdefender