Reclame malițioase pe Facebook promovează extensii de browser false „Meta Verified” pentru a fura conturi

Infractorii cibernetici vizează din nou creatorii de conținut și afacerile printr-o nouă campanie de malvertising pe Meta. De această dată, reclamele malițioase sunt însoțite de un tutorial video care îi ghidează pe utilizatori în descărcarea și instalarea unei așa-zise extensii de browser ce promite să ofere bifa albastră de verificare pe Facebook sau alte funcții „miraculoase”.

La prima vedere, totul pare legitim și chiar util. Până la urmă, de ce ar depune cineva efortul de a înregistra tutoriale dacă instrumentul nu ar funcționa? Însă, așa cum se spune, „nimic nu e gratis”. În realitate, această extensie de browser este malițioasă și are rolul de a vă fura conturile.

Cel puțin 37 de reclame malițioase care promovau această „extensie” au fost difuzate de același cont de Facebook. Potrivit cercetătorului Bitdefender Ionuț Baltariu, atât tutorialele, cât și codul poartă amprenta unor infractori cibernetici vietnamezi.

Narațiunea video și comentariile din cod sunt scrise în vietnameză și explică modul în care pot fi ajustați anumiți parametri, precum dimensiunea și poziția unei bife false de verificare. Acest lucru arată intenția clară de a face ca instrumentul să pară personalizabil și funcțional pentru un public vietnamez.

O analiză mai atentă a extensiei arată că aceasta pare a fi generată cu ajutorul AI-ului. Codul este stângaci, slab ofuscat și plin de variabile generice. Cu toate acestea, își atinge scopul. Comentariile inline evidențiază „zone ajustabile” pentru valori personalizate, sugerând că atacatorii pot modifica și redistribui rapid variante noi.

Canalul de distribuție adaugă un alt strat de automatizare. Malware-ul este găzduit pe Box.com (app.box.com), un serviciu legitim de management al conținutului în cloud. Folosind o platformă de încredere, atacatorii pot genera în masă linkuri, le pot integra automat în tutoriale și își pot reîmprospăta constant campaniile. Totul face parte dintr-un tipar mai amplu prin care malvertisingul este industrializat, iar imaginile, reclamele și tutorialele sunt produse pe bandă rulantă.

Furt de cookie-uri Facebook și vânzarea conturilor de business

Odată instalată, extensia malițioasă începe să-și îndeplinească scopul principal: colectarea cookie-urilor de sesiune de pe Facebook și trimiterea lor către un bot Telegram controlat de atacatori. De asemenea, extensia colectează adresa IP a victimei prin https://ipinfo.io/json.

Dar malware-ul nu se oprește aici. Unele variante interacționează direct cu Facebook Graph API folosind token-uri de acces furate. Astfel, atacatorii pot identifica conturi de business pe Facebook – mult mai valoroase decât profilele obișnuite. Odată identificate, aceste conturi sunt exfiltrate și vândute pe canale Telegram, unde credențialele sunt tratate ca simple bunuri.

Conturile furate pot fi vândute pe piețe underground pentru profit sau reutilizate în noi valuri de malvertising. Practic, conturile compromise finanțează și promovează mai multe escrocherii, care, la rândul lor, generează și mai multe conturi compromise.

Bitdefender a documentat deja acest tipar. La începutul anului, am expus o campanie masivă de malvertising pe Facebook care exploata branduri cripto și un alt val ce imita instrumente populare precum Bitwarden, Photoshop și CapCut. Această ultimă campanie merge și mai departe, învățând victimele cum să se infecteze singure.

De ce ar putea cădea victime creatorii de conținut și afacerile mici?

Creatorii de conținut și companiile își doresc bifa albastră de verificare pentru că transmite autenticitate, crește vizibilitatea și protejează împotriva impostorilor. Cum Meta solicită acum un abonament plătit pentru verificare, escrocii exploatează dorința utilizatorilor de a găsi scurtături, oferind instrumente false care promit insigna gratuit.

Prezentată ca un simplu tutorial video într-o reclamă pe Facebook, escrocheria pare accesibilă și convingătoare, făcându-i pe utilizatori să-și lase garda jos și să instaleze malware fără să-și dea seama.

• Pentru creatori și afaceri: Pierderea controlului asupra unui cont de business pe Facebook poate însemna pierderea brandului, a audienței și a veniturilor.
• Pentru utilizatorii obișnuiți: Chiar și un cont personal aparent „neimportant” poate fi folosit pentru a răspândi reclame și escrocherii către prieteni și familie.

Cum te protejezi de malvertising

• Fii suspicios față de reclamele care promit verificare sau instrumente speciale. Facebook nu oferă bifa albastră prin extensii de browser.
• Evită descărcările din linkuri din reclame. Folosește doar surse oficiale precum Chrome Web Store sau Firefox Add-ons.
• Securizează-ți conturile cu parole puternice și autentificare multi-factor.
• Folosește instrumente de securitate precum Bitdefender Scamio și Link Checker (gratuite) pentru verificarea linkurilor suspecte și Bitdefender Digital Identity Protection pentru monitorizarea identitații digitale.

Protejarea creatorilor și a afacerilor mici

Escrocheriile de acest tip vizează creatorii de conținut și afacerile mici, deoarece depind de rețelele sociale pentru vizibilitate, credibilitate și venituri. Pierderea accesului la un singur cont poate însemna zile sau chiar săptămâni de întreruperi.

• Bitdefender Security for Creators oferă protecție dedicată creatorilor care depind de Facebook, Instagram și YouTube.
• Bitdefender Ultimate Small Business Security oferă echipelor mici protecție de nivel enterprise împotriva extensiilor malițioase, phishingului și ransomware-ului.