4億円超の広告枠を中国のハッカーが購入して詐欺広告を表示しまくった手口とは？

Facebookのセキュリティ研究者が2020年10月1日、中国のサイバー犯罪者が用いた「Facebook上に詐欺広告を表示する手口」について報告しました。サイバー犯罪者らは自分たちで広告枠を購入して詐欺広告を表示するのではなく、マルウェアに感染した他人のFacebookアカウントに紐付いた支払い方法で広告枠を購入しており、被害総額は400万ドル(約4億円)以上だとされています。

SilentFade: unveiling Chinese malware abusing Facebook ad platform - VB2020 - Join us for the best kept secret of the infosec industry!
https://vblocalhost.com/presentations/silentfade-unveiling-chinese-malware-abusing-facebook-ad-platform/

How hackers took over Facebook accounts to steal millions, promote scams
https://www.cyberscoop.com/facebook-silentfade-malware-fraud-millions/

How a Chinese malware gang defrauded Facebook users of $4 million | ZDNet
https://www.zdnet.com/article/how-a-chinese-malware-gang-defrauded-facebook-users-of-4-million/

怪しいダイエットピルや偽造品などを宣伝する詐欺広告は、広告収益を柱とするFacebookなどのプラットフォームにとって大きな課題です。新たにFacebookの研究者らが報告したサイバー犯罪者の手口は、詐欺広告を表示するためのコスト自体を、マルウェアに感染した被害者らに負担させるというものでした。

中国のサイバー犯罪者らが使用したのは、「SilentFade」と呼ばれるマルウェアです。このマルウェアはFacebookを介して感染が広められたのではなく、ウェブブラウザからダウンロード可能なソフトウェアに埋め込まれていたものだったため、Facebook側が検出・根絶することは困難だったとのこと。

デバイスに感染したSilentFadeは、ウェブブラウザ内の正当なDLLファイルを、サイバー犯罪者が制御可能な悪意のあるDLLファイルに書き換えます。ターゲットとなったウェブブラウザはChrome・Firefox・Internet Explorer・Opera・Edgeなど多岐にわたり、悪意のあるDLLファイルはブラウザに保存されている資格情報やブラウザセッションCookieを盗み取るよう設計されています。

次にSilentFadeは、FacebookセッションのCookieを利用して、資格情報や2段階認証トークンを使用せずに被害者のFacebookアカウントにログイン。そしてSilentFadeは巧妙なスクリプトを使用してFacebookの通知やセキュリティ機能の多くを無効にした上に、疑わしいFacebook上のアクティビティが検出された際にメッセージで警告する「Facebook for Business」および「Facebook Login Alerts」アカウントをブロック。SilentFadeはFacebookに存在していたバグも利用して、ユーザーがアカウントのブロックを解除できないようにしていたそうです。

SilentFadeを用いたサイバー犯罪者の目的は、侵害したFacebookアカウントに紐付いたPayPalアカウントなどの支払い方法を使い、詐欺広告の掲載枠を購入することでした。SilentFadeが活動したのは2018年後半から2019年2月までの数カ月間でしたが、その期間中にハッカーはユーザーから盗み出した支払い方法を用いて総額400万ドル(約4億円)以上の広告枠を購入したとみられています。

Facebookは2018年12月にユーザーからの報告を受けて調査を開始し、2019年2月にSilentFadeの活動を突き止めたとのこと。既にFacebookはアカウントのブロック解除に関連するバグや通知に関する問題を修正し、悪意のあるFacebook広告を購入するためにアカウントが悪用された全てのユーザーに返金したと述べています。

その後もFacebookは調査を続け、2019年12月には一連の犯罪に関与したとして、2人の中国人と香港の会社に対して訴訟を起こしているほか、被告らがFacebookを使用するのを差し止めるように連邦裁判所に要請しています。また、アカウントに対するセキュリティ対策をより厳重にし、Facebookプラットフォームを狙った攻撃への備えを強めているとのこと。

by www.thoughtcatalog.com

Facebookのセキュリティポリシー責任者であるNathaniel Gleicher氏は、Facebookなどの特定のプラットフォームを標的にしたマルウェアは、すべてのプラットフォームに影響を及ぼす可能性があると指摘。「インターネットから悪意のあるソフトウェアをダウンロードすることで、人々のデバイスやブラウザが危険にさらされると、技術プラットフォームによる緩和と検出のオプションが大幅に制限される可能性があります」と述べています。

また、今回の攻撃について報告したFacebookのセキュリティ研究者であるSanchit Karve氏とJennifer Urgilez氏は、「Facebookをターゲットとして進化するエコシステムが示すように、サービスを提供するユーザー数が多く、成長を続けるプラットフォームには、プラットフォーム固有のマルウェアがさらに出現すると予想しています」との見解を示しました。