На прошедшей в начале октября конференции по безопасности Virus Bulletin 2020 сотрудники службы кибер-безопасности Facebook рассказали об одной из самых сложных вредоносных кампаний, которая когда-либо была нацелена на пользователей Facebook. Группа китайских хакеров под названием SilentFade с 2018 года по начало 2019 использовала троянские вирусные программы для покупки рекламы с аккаунтов взломанных пользователей. Преступникам удалось похитить у пользователей более 4 млн. долларов.
Для проникновения в систему пользователя и перехвата контроля над его аккаунтом, хакеры использовали изощренную комбинацию Windows-трояна, инъекций вредоносного кода в браузер, скриптов и уязвимостей в платформе Facebook. После внедрения в систему пользователя, преступники похищали пароли и cookie-файлы браузера пользователей с целью получить доступ к учетным записям Facebook. Получив его, преступники узнавали, привязан ли к нему какой-либо способ оплаты (например кредитная карта или PayPal) и, в случае его обнаружения, начинали тратить с них деньги для размещения фейковой рекламы в социальной сети от имени владельца профиля. Злоумышленники в основном проводили вредоносные рекламные кампании в форме рекламы каких-либо таблеток или спама с фальшивым участием знаменитостей. Несмотря на то, что кампания длилась всего несколько месяцев, преступникам удалось похитить у пользователей более 4 млн. долларов.
Эти вредоносные программы были обнаружены в декабре 2018 года, когда специалистами кибер-безопасности Facebook был обнаружен подозрительный всплеск трафика, указывающий на возможную атаку и взлом учетных записей на основе вредоносного ПО.
Учитывая то, что системы безопасности Facebook могут обнаружить подозрительную активность и входы в систему, и уведомлять пользователя об этом с помощью сообщений, хакеры из SilentFade в первую очередь блокировали системы, которые отправляли предупреждения в личные сообщения пользователей.
Злоумышленники создали множество препятствий для обнаружения. Они маскировали свои целевые страницы и создавали полную видимость того, что покупки настоящие, используя кредитные карты и учетные записи PayPal законопослушных ни о чем не подозревающих пользователей.
Специалисты провели расследование и обнаружили учетную запись GitHub, в которой, предположительно, размещалось множество библиотек, используемых для создания вредоносного ПО SilentFade. Facebook отследил эту учетную запись и расследование привело специалистов к некой гонконгской компании «ILikeAd Media International Company», которая занималась разработкой программного обеспечения.
Главными организаторами всех преступных атак на аккаунты пользователей Facebook, по данным специалистов, являлись двое ее сотрудников — Чен Сяо Конга и Хуан Тао.
В декабре 2019 года Facebook подал в суд на компанию и двух ее разработчиков, судебный процесс на данный момент все еще продолжается.