Bitdefender tarafından tespit edilen kötü amaçlı reklam kampanyası, Facebook ve Instagram profillerinde mavi onay rozeti vaat eden sahte “Meta Verified” tarayıcı eklentileri SocialMetrics Pro’nun yayılmasını hedefliyor. En az 37 farklı kötü amaçlı reklamın bu eklentiyi dağıttığı gözlemlendi.
Kötü Amaçlı Eklentilerin İşleyişi
Romanya merkezli siber güvenlik firması, bu reklamların kullanıcıları Facebook’ta doğrulama işaretini açtığını iddia eden sahte eklentiyi indirip kurmaya yönlendiren video eğitimlerle desteklendiğini belirtti. Ancak eklenti, Box bulut hizmetinde barındırılarak Facebook oturum çerezlerini toplayıp saldırganların kontrolündeki Telegram botuna gönderiyor. Ayrıca ipinfo[.]io/json üzerinden kurbanın IP adresini elde ediyor.
Facebook Graph API ve Hesap Ele Geçirme
Sahte eklentinin bazı varyantları, çalınan çerezlerle Facebook Graph API’yi kullanarak hesap bilgilerini topluyor. Bu yöntem, geçmişte NodeStealer gibi kötü amaçlı yazılımlar tarafından da kullanılmıştır. Nihai hedef, ele geçirilen Facebook İşletme ve Reklam hesaplarını yeraltı forumlarında satmak veya yeni kötü amaçlı reklam kampanyalarında kullanmak.
Vietnamca İzler ve Kampanya Endüstrileşmesi
Kampanyanın Vietnamca konuşan tehdit aktörlerine ait olduğu, eğitim ve kaynak kodundaki Vietnamca yorumlarla destekleniyor. Bitdefender, saldırganların güvenilir platformlar üzerinden bağlantıları otomatik olarak oluşturup eğitimlere gömerek kampanyalarını sürekli yenilediğini vurguladı. Bu, kötü amaçlı reklamcılığın endüstrileşmesinin bir göstergesi olarak değerlendiriliyor.
Madgicx Plus ve Sahte Yapay Zeka Destekli Eklentiler
Benzer zamanda, Meta reklamverenlerini hedef alan ve yapay zeka destekli reklam optimizasyonu vaat eden sahte Chrome eklentileri de ortaya çıktı. Cybereason, Madgicx Plus adlı sahte platformun işletme oturumlarını ele geçirme ve kimlik bilgilerini çalma işlevleri barındırdığını açıkladı. Bu eklentiler, kullanıcıların tüm web sitelerine tam erişim sağlıyor ve Facebook ile Google hesaplarını bağlamaya zorlayarak kimlik bilgilerini gizlice topluyor.
Tehdit Aktörlerinin Stratejisi
Cybereason, tehdit aktörlerinin önce Google kimlik bilgilerini ele geçirip ardından Facebook erişimini genişleterek değerli işletme ve reklam hesaplarını hedeflediğini belirtti. Bu aşamalı yaklaşım, hesap ele geçirme ve kötü amaçlı reklam kampanyalarının yaygınlaşmasına zemin hazırlıyor.