روش جدید هکرها برای توزیع بدافزار در فیسبوک

با ظهور هوش مصنوعی و ChatGPT، بدافزار‌های پرطرفداری مانند Ducktail و NodeStealer نقش اصلی را در حمله به سامانه تبلیغاتی فیسبوک برای توزیع بدافزار به عهده گرفته اند.

به گزارش تکناک، عوامل با هدف شوم، صفحات فیسبوک تأییدشده را هک کرده و آنها را به برندهای قابل اعتمادی مانند فیسبوک، متا، گوگل AI، بارد و سایر برندها تغییر نام می‌دهند. سپس از این صفحات با علامت تأیید استفاده می‌کنند تا تبلیغاتی با لینک به بدافزارها را اجرا کنند.

متا در گزارش خود ادعا کرده است که با تطبیق سریع با حملات مخالف، فعالیت‌های بدافزار را مختل کرده است. طبق گزارشی از گروه Group-IB، بیش از ۳۲۰۰ صفحه و پروفایل فیسبوک برای جعل هویت برندهای فناوری و در آنها کلمات کلیدی مانند AI، ChatGPT و Bard را استفاده کرده‌اند. پس از دو ماه کاهش حضور، گروه‌های بدافزاری دوباره در فیسبوک آشوب‌گری می‌کنند.

این بار، تبلیغات بدافزاری از طریق صفحات غیرتأییدشده فیسبوک ارائه می‌شود. ما با یک گروه از این تبلیغات که تظاهر به گوگل می‌کنند مواجه شدیم. این تبلیغات حاوی لینک‌هایی به یک سایت دانلود می‌باشند که بر روی پلتفرم Google Sites میزبانی شده است. این لینک‌ها شامل یک پیوند مستقیم دانلود DropBox به فایل بدافزاری RAR با حجم ۴.۲۶ مگابایت است.

اگرچه فایل فشرده با رمز عبوری که در وبسایت اشاره شده آماده شده است، اما مرورگرهایی مانند کروم می‌توانند در حین دانلود بدافزار را تشخیص داده و قبل از حمله به دستگاه، آن را مسدود کنند. در حالی که کروم به طور خودکار بدافزار را تشخیص داده و مسدود کرد، ویندوز دیفندر نتوانست آن را تشخیص دهد حتی زمانی که نصب کننده در حال اجرا بود.

تصویر زیر یکی از سایت‌های بدافزاری را نشان می‌دهد که بر روی سایت sites.google.com میزبانی شده است.

برای جلوگیری از آسیب دیدن توسط چنین بدافزارهایی و افزایش آگاهی، فیسبوک “Page transparency” را به همه صفحات اضافه کرد تا تاریخچه تغییر نام و کشور مبدأ و سایر جزئیات را نشان دهد. دو صفحه اخیر که هک شده‌اند، “গাছগাছালি” که در تاریخ ۱۹ام تغییر نام به AI Marketing شده است و “SONAX Bangladesh” که در تاریخ ۲۷ام ژوئیه ۲۰۲۳ به AI Marketing تغییر نام داده‌اند.

در زمان نوشتن این متن، این صفحات هنوز فعال هستند و لینک‌های بدافزاری که روی DropBox میزبانی شده‌اند، کار می‌کنند. منطقی است که در مورد دانلودهایی که ارائه می‌شود، هشدار داده شود، حتی اگر توسط صفحات تأییدشده به نظر می‌رسند. اگر از هویت یک صفحه فیسبوک مطمئن نیستید، درست این است به بخش “درباره” صفحه مراجعه کنید تا جزئیاتی درباره تاریخچه صفحه و هر تغییر نامی که صورت گرفته است، دریافت کنید. همچنین می‌توانید با افزودن /about به آدرس URL هر صفحه شرکت فیسبوک در نوار آدرس، به آن دسترسی پیدا کنید.