- ベトナム語を話すハッカーが偽のブラウザ拡張機能を使い、Facebookビジネスおよび広告アカウントを盗んでいます
- Bitdefenderは、SocialMetrics Proというマルウェア入り拡張機能を偽広告やチュートリアルで拡散する2つのキャンペーンを発見しました
- このマルウェアはセッションデータをTelegramボットに送信し、アカウントの窃取やマルバタイジング目的での転売を可能にします。
ベトナム人ハッカーが再び人々のFacebookビジネスおよび広告アカウントを狙っています。今回は偽のブラウザ拡張機能を使っています。
今週初め、セキュリティ研究者のBitdefenderが、FacebookやInstagramアカウントに青い認証バッジを付与すると謳う拡張機能を宣伝するため、偽のウェブサイトやマルバタイジングを使った2つの別々のキャンペーンを発見しました。
この拡張機能はSocialMetrics Proと呼ばれ、少なくとも37件の広告で宣伝されています。
Facebookアカウントの販売
これらの広告は、マルウェアを配布するだけでなく、被害者にFacebookやInstagramで認証を取得する手順を案内するビデオチュートリアルも用意されています。
マルウェア自体は、正規のクラウドストレージサービスプロバイダーであるBoxにホストされています。
マルウェアがインストールされると、被害者のIPアドレスやFacebookのセッションクッキーを取得し、それらをTelegramボットに送信します。一部の亜種はFacebook Graph APIとも連携し、ターゲットアカウントに関するさらなる情報を取得していました。
Bitdefenderは、攻撃者がこれらのアカウントへのアクセスをアンダーグラウンドフォーラムで利益目的で販売していると考えています。
通常、犯罪者はこれらのアカウントを使って自身の悪意あるキャンペーンを宣伝します。できるだけ多くの人にマルウェアを配布するため、ハッカーはFacebook上で広告を出そうとすることがあります。
しかし、Metaは厳格な審査を行っているため、簡単に登録してマルバタイジングキャンペーンを開始することはほぼ不可能です。そのため、攻撃者は既に認証済みで広告履歴がクリーンなビジネスアカウントを盗み、それを悪用します。
Bitdefenderの研究者は、悪意あるサイトに掲載されたハウツービデオガイドにベトナム語が使われていることなどから、これがベトナム語を話す攻撃者の仕業であると考えています。
「信頼できるプラットフォームを利用することで、攻撃者は大量のリンクを生成し、それらを自動的にチュートリアルに埋め込み、キャンペーンを継続的に更新できます」とBitdefenderは述べています。「これは、攻撃者がマルバタイジングを産業化し、広告画像からチュートリアルまで全てを大量生産しているという、より大きな傾向に合致します。」
