Die Experten der Bitdefender Labs beobachten aktuelle Malvertising-Kampagnen auf Facebook. Vehikel für die Angriffe mit Malware sind vor allem bekannte Kryptowährungsseiten wie Binance, Trading #-View, ByBit, SolFlare, MetaMask, Gate.io oder MEXC. Angebliche Markenbotschafter sind Influencer und Prominente wie Elon Musk oder Cristiano Ronaldo. Die cyberkriminellen Träger der Malware-Kampagnen verwenden fortgeschrittene Techniken, um sich zu tarnen. Sie spielen an Nutzer, die sie nicht angreifen wollen, sowie an vermutete Sandboxen lediglich harmlose Inhalte aus. Die Experten von Bitdefender dokumentieren Hunderte von Facebook-Konten, die Seiten mit Schadcode bewerben. In einem Fall präsentierte eine einzige Seite über 100 Anzeigen innerhalb von 24 Stunden.
Cyberkriminelle kapern entweder existierende Facebook-Konten oder legen neue an. Dann nutzen sie das Meta-Netzwerk, um ihre Anzeigen auszuspielen. Ziel sind der schnelle finanzielle Gewinn und Krypto-Bonusse.
Bemerkenswert ist, wie die Kampagnenautoren mit fortschrittlichen Methoden verhindern, dass konventionelle Cyberabwehr-Technologien sie erkennen:
-
Die IT-Sicherheitslösungen der meisten Hersteller erkennen die geschützte Kommunikation zwischen dem Frontend einer schadhaften Website und dem lokalen Host nicht.
-
Zudem nutzen die Hacker spezielle Analyse-Technologien, um Sandbox-Verfahren zu erkennen und Malware nur der ins Visier genommenen Zielgruppe zu zeigen. Sie nutzen Suchparameter für die Facebook-Ads, um Opfer zu suchen, während – für den Hacker – verdächtige oder automatisierte Analyse-Umgebungen nur harmlose Inhalte erhalten.
-
Wenn ein Nutzer nicht in Facebook eingeloggt ist, oder eine IP-Adresse beziehungsweise ein Betriebssystem für die Hacker nicht interessant sind, zeigen die Anzeigen keine bösartigen Inhalte. Nutzer sehen dann nur Content ohne Bezug zur Kampagne. Dies ist auch dann der Fall, wenn ein mögliches Opfer nicht der Zielgruppe der Angreifer – zum Beispiel männlich mit Interesse für Technologie oder Kryptowährungen – entspricht.
Info: Eine vollständige Analyse der laufenden Malvertising-Kampagnen findet sich unter https://www.bitdefender.com/en-us/blog/labs/weaponizing-facebook-ads-inside-the-multi-stage-malware-campaign-exploiting-cryptocurrency-brands.
#Bitdefender
powered by Borlabs Cookie 