Facebook reklame kriju opasnu zamku: Instaliraš aplikaciju - a otvaraš vrata hakerima!
Facebook, najpopularnija društvena mreža na svetu, postala je neočekivana odskočna daska za sofisticiranu sajber kampanju. Napadači koriste hiljade oglasa kako bi prevarili korisnike da preuzmu maliciozne aplikacije koje oponašaju poznate kripto-platforme poput TradingView-a.
Reklame potiču sa kompromitovanih ili novokreiranih profila, često bez prethodne istorije aktivnosti, što im pomaže da izbegnu algoritamske provere. Kada korisnik klikne na oglas, preusmerava se na profesionalno dizajniran, ali potpuno lažan sajt koji mu nudi instalaciju aplikacije.
Instalacija bez sumnje, infekcija bez zvuka
Zlonamerni kod je pažljivo sakriven u instalacionom paketu, a instalater koristi Microsoft Edge sistemsku komponentu (msedge_proxy.exe) da bi otvorio pravi sajt platforme - tako da korisnik ne primeti ništa neobično. Ovo vizuelno maskiranje omogućava malveru da radi u pozadini dok korisnik misli da je sve legitimno.
Da bi infekcija uspela, i kompromitovani sajt i instalacioni fajl moraju raditi istovremeno. To je dodatna mera zaštite za napadače - jer otežava istraživačima da izoluju i analiziraju kod, a korisnicima da posumnjaju da se išta dešava van uobičajenog toka instalacije.
Tajni tunel ka hakerima
Nakon instalacije, maliciozni DLL moduli uspostavljaju lokalnu HTTP vezu na portu 30303. Ova veza služi za razmenu sistemskih podataka, nadzor nad procesom instalacije i dalju komunikaciju sa komandno-kontrolnim serverima napadača.
Informacije koje se prikupljaju uključuju detalje o uređaju, mrežnim konekcijama i softveru, a sve se pakuje u JSON formatu i šalje putem PowerShell skripti. Korišćenje ovog skrivenog kanala omogućava napadačima da ostanu nevidljivi za većinu bezbednosnih alata.
Kada ste "vredna meta", počinje pravi napad
Ako napadači procene da je žrtva vredna - na primer zbog kripto imovine, povezanih naloga ili sistemskih privilegija - aktivira se glavni alat: JSCEAL malver. U tom trenutku počinje duboka i trajna kompromitacija uređaja.
JSCEAL omogućava presretanje celokupnog web saobraćaja, injekciju malicioznih skripti na stranice koje korisnik posećuje, krađu kolačića, zapamćenih lozinki, pa čak i pristup Telegram nalozima. Uz to, malver može da pravi snimke ekrana, beleži pritiske na tastaturi i omogući napadaču potpuni daljinski pristup uređaju.
Napad koji traje mesecima
Iako je kampanja javno identifikovana tek nedavno, zapravo je aktivna još od marta 2024. godine. Napadači koriste kompajlirane JavaScript fajlove (JSC) koji zaobilaze tradicionalne alate za zaštitu i analiziranje zlonamernog koda.
Pod imenom WEEVILPROXY, ova operacija predstavlja evoluiranu pretnju jer kombinuje socijalni inženjering, tehničku sofisticiranost i visok nivo prikrivanja. Bezbednosni stručnjaci upozoravaju: ako koristite Facebook i trgujete kriptovalutama, ovo je trenutak da budete posebno oprezni.
Zabranjeno preuzimanje dela ili čitavog teksta i/ili foto/videa, bez navođenja i linkovanja izvora i autora, a u skladu sa odredbama WMG uslova korišćenja i Zakonom o javnom informisanju i medijima.
