Nedavna malverposting kampanja povezana sa vijetnamskim hakerom traje već mjesecima i procjenjuje se da je samo u posljednja tri mjeseca zarazila preko 500.000 uređaja širom svijeta.
Tvrdnje dolaze od sigurnosnih stručnjaka iz Guardio Labs-a, a objavljene su na blogu u srijedu.
U njemu je tim opisao malverposting kao “upotrebu promovisanih postova na društvenim mrežama i tweet-ova za propagiranje malicioznog softvera i drugih sigurnosnih pretnji” a u ovom slučaju, zloupotrebu usluge Facebook Ads-a za isporuku malicioznog softvera.
„Početni faktor za te brojke je zloupotreba usluge Facebook Ads kao prvog mehanizma isporuke odgovornog za ovo masovno širenje“, napisao je Nati Tal, šef kibernetičke bezbjednosti u Guardio Labs-u.
Guardiov tim je primijetio da se vijetnamska kampanja oslanjala na malverposting dok je razvijala različite tehnike izbjegavanja. Posebno se fokusirao na SAD, Kanadu, Englesku i Australiju.
„Ovaj haker stvara nove poslovne profile, kao i otima prave, renomirane profile sa čak milionima pratilaca“ objasnio je Tal.
Takođe su više puta objavljivali maliciozni mamac za klikove na Facebook feed-ovima obećavajući besplatno preuzimanje foto albuma za odrasle.
“Kada žrtve kliknu na te postove/linkove, maliciozna ZIP datoteka se preuzima na njihove računare” piše u savjetu. „Unutar su datoteke fotografija, koje su zapravo maskirane izvršne datoteke, koje će, kada se kliknu, pokrenuti proces zaraze.”
Izvršna datoteka zatim otvara pop up prozor u pretraživaču s web-stranicom koja prikazuje srodni sadržaj.
“Dok je u pozadini, haker će tiho implementirati, izvršiti i dobiti upornost da povremeno eksfiltrira Vaše kolačiće sesije, račune, kripto-novčanike i još mnogo toga.”
Tal je pojasnio da je tim uočio nekoliko varijacija najnovijeg payload-a, ali su sve dijelile benignu izvršnu datoteku za pokretanje protoka infekcije.
“Maliciozni teret je prilično sofistikovan i stalno varira, uvodeći nove tehnike izbjegavanja” napisao je stručnjak za sigurnost.
“Kao što smo vidjeli, proizvođačima sigurnosti je potrebno vrijeme da ga otkriju i kreiraju relevantne presude koje će blokirati, posebno kada se to radi van konteksta.”
Upozorenje Guardio Labs-a dolazi nekoliko sedmica nakon što su stručnjaci za bezbjednost u Group-IB otkrili šemu krađe identiteta koja je usmjerena na korisnike Facebook-a i koja se oslanja na preko 3000 lažnih profila.
Izvor: Infosecurity Magazine