Geral 2min de Leitura - 14 de junho de 2022

Operação de phishing em grande escala no Facebook é descoberta

campanhas phishing facebook

This post is also available in: Português

Pesquisadores divulgaram uma operação de phishing em grande escala visando o Facebook e o Messenger para atrair milhões de usuários. Os usuários são atraídos para páginas de phishing de onde suas credenciais são roubadas e os anúncios são exibidos para geração de receita significativa por meio de comissões de publicidade online.

A operação de phishing

De acordo com a PIXM, uma empresa de segurança cibernética focada em IA, a campanha atingiu o pico entre abril e maio de 2022, mas está ativa desde pelo menos setembro de 2021.

As contas roubadas foram usadas para enviar mais mensagens de phishing a seus amigos, promovendo a campanha exponencialmente e gerando mais receita exibindo anúncios.

Os pesquisadores rastrearam o invasor e mapearam a campanha para uma das páginas de phishing que hospedam um link para um aplicativo de monitoramento de tráfego (whos.amung.us) acessível sem qualquer autenticação.

Não se sabe como a campanha atingiu suas vítimas inicialmente. No entanto, os pesquisadores suspeitam que as vítimas chegaram às páginas de destino de phishing por meio de uma série de redirecionamentos do Facebook Messenger.

À medida que mais contas do Facebook eram roubadas, os agentes de ameaças usavam ferramentas automatizadas para enviar mais links de phishing para os amigos da conta comprometida, criando um crescimento maciço nas contas roubadas.

A PIXM explica em seu relatório que a conta de um usuário seria comprometida e, provavelmente de maneira automatizada, o agente da ameaça faria login nessa conta e enviaria o link para os amigos do usuário via Facebook Messenger.

Embora o Facebook tenha medidas de proteção para impedir a disseminação de URLs de phishing, os agentes de ameaças usaram um truque para contornar essas proteções.

As mensagens de phishing usavam serviços legítimos de geração de URL, como litch.me, famous.co, amaze.co e funnel-preview.com, o que seria um problema para bloquear, pois aplicativos legítimos os usam.

1
URLs usados na campanha. Fonte: PIXM

Rastreando os agentes da ameaça

Os pesquisadores encontraram um trecho de código comum em todas as páginas de destino, que incluía uma referência a um site apreendido e parte de uma investigação contra um colombiano chamado Rafael Dorado.

2
Site do operador da campanha. Fonte: PIXM

Não está claro quem tomou o domínio e colocou o aviso no site.

Uma pesquisa de whois reversa revelou links para uma empresa legítima de desenvolvimento web na Colômbia e sites antigos que ofereciam “bots semelhantes” ao Facebook e serviços de hackers.

Informações adicionais

Em 2021, cerca de 2,7 milhões de usuários visitaram um dos portais de phishing. Esta contagem aumentou para 8,5 milhões nesse ano.

Além disso, 405 nomes de usuário exclusivo foram usados como identificadores de campanha, cada um com uma página de phishing separada no Facebook.

Inicialmente, essas páginas de phishing tinham 4 mil visualizações, que agora aumentaram para milhões, sendo que uma das página tem 6 milhões de visualizações.

A campanha de phishing ainda está em andamento, mesmo depois que a maioria dos URLs identificados ficaram offline. Além disso, o uso de serviços legítimos para contornar o bloqueio de URL provou ser bem-sucedido para os invasores. Para se manterem seguros, sugere-se que os usuários fiquem atentos e ativem a autenticação multifator.

Fonte: PIXM.

This post is also available in: Português