На конференции по безопасности Virus Bulletin 2020 члены команды безопасности Facebook раскрыли подробную информацию об одной из самых сложных вредоносных кампаний, которая когда-либо была нацелена на пользователей Facebook. Киберпреступная группировка, получившая название SilentFade, с конца 2018 года по февраль 2019 года использовала вредоносы для покупки рекламы от имени взломанных пользователей.
SilentFade использовала комбинацию Windows-трояна, инъекций вредоносного кода в браузер, скриптов и уязвимостей в платформе Facebook, демонстрируя изощренный метод работы, который редко встречается у преступников. Целью SilentFade было заражение пользователей трояном, перехват контроля над браузером, а также кража паролей и cookie-файлов браузера пользователей с целью получить доступ к учетным записям Facebook. Получив доступ, преступники начинали искать учетные записи, к профилю которых был привязан какой-либо способ оплаты и использовали средства жертвы для размещения от ее имени вредоносной рекламы в социальной сети.
Несмотря на то, что кампания длилась всего несколько месяцев, преступникам удалось похитить у пользователей более $4 млн.
По словам экспертов, преступники распространяли современную версию вредоноса SilentFade в комплекте с легитимным программным обеспечением, которое они предлагали для загрузки в интернете. Как только троян SilentFade попадал на устройство пользователя под управлением Windows, хакеры получали контроль над компьютером жертвы. Однако вместо того, чтобы злоупотреблять системой для более навязчивых операций, вредонос только заменял легитимные DLL-файлы в установках браузера вредоносными копиями, позволяя SilentFade контролировать браузер.
Как отметили в Facebook, вредоносное ПО использовало скрипты для отключения многих функций безопасности социальной сети и даже обнаружило, а затем использовало уязвимость в платформе, чтобы пользователи не могли повторно включить отключенные функции (уведомления сайта, звуки уведомлений чата, SMS-уведомления, уведомления по электронной почте, уведомления со страницы). Зная, что системы безопасности Facebook могут обнаруживать подозрительную активность и входы в систему и уведомлять пользователя через личное сообщение, банда SilentFade также заблокировала учетные записи Facebook для бизнеса и Facebook Login Alerts, которые отправляли предупреждения в личные сообщения в первую очередь.
Специалисты провели расследование и обнаружили учетную запись GitHub, в которой, предположительно, размещалось множество библиотек, используемых для создания вредоносного ПО SilentFade. Facebook отследил эту учетную запись и вредоносное ПО SilentFade до ILikeAd Media International Company, гонконгской компании-разработчика программного обеспечения, основанной в 2016 году, а также двух ее сотрудников — Чен Сяо Конга и Хуан Тао. Facebook подал в суд на компанию и двух разработчиков в декабре 2019 года, судебное дело все еще продолжается.