SilentFade-Group: chinesische Malware-Bande zockt Facebook-User ab

Auf einer Branchenkonferenz teilte das Facebook-Sicherheitsteam Details zu einem Malware-Betrug der SilentFade-Group auf seiner Plattform mit.

SilentFade, Facebook
Bildquelle: LoboStudioHamburg, thx!

Chinesische Hacker, die SilentFade-Group, verwendeten einen Windows-Trojaner, Browser-Injektionen, clevere Skripte und einen Facebook-Plattform-Bug, um Werbung auf Facebook für Diätpillen, gefälschte Designerhandtaschen und mehr für gehackte Benutzer zu kaufen und zu veröffentlichen. Dabei gaben die Hacker 4 Millionen Dollar an Geld der Opfer aus, berichtet zdnet.

Auf der Sicherheitskonferenz zum Virus Bulletin 2020 enthüllten Mitglieder des Facebook-Sicherheitsteams Details zu einer der fortschrittlichsten Malware-Kampagnen, die jemals für Facebook-Benutzer durchgeführt wurden. Die Konferenz zieht sowohl technische, als auch Zielgruppen aus der Sicherheitsbranche und anderen Sektoren an. Sie bietet wichtige Einblicke in die neuesten Forschungsergebnisse, Trends und Entwicklungen in allen Aspekten der IT-Sicherheit. Die Konferenz fand vom 30. September bis zum 2. Oktober 2020 nun das erste Mal virtuell statt.

SilentFade betrog Facebook-Nutzer um Millionen-Beträge

Demgemäß kaufte eine cyberkriminelle Hackergruppe namens SilentFade von Ende 2018 bis Februar 2019 mittels Malware Werbeanzeigen für gehackte Facebook-Benutzer. Trotz der Tatsache, dass die Kampagne nur wenige Monate dauerte, gelang es den Kriminellen, mehr als 4 Millionen US-Dollar von Nutzern zu stehlen. SilentFade verwendete für den Angriff eine Kombination aus Windows-Trojanern, Browser-Injektionen, Skripten und einer Sicherheitslücke auf der Facebook-Plattform. Damit demonstrierten die Hacker eine so ausgefeilte Kampagne, wie man sie sonst von Kriminellen nur selten zu sehen bekommt.

Legitime Software verbarg Trojaner

Den Experten zufolge verteilten die Kriminellen eine moderne Version der SilentFade-Malware. Diese ist mit legitimer Software gebündelt und wurde zum Herunterladen im Internet angeboten. Sobald der SilentFade-Trojaner auf das Windows-Gerät eines Benutzers gelangte, erhielten die Hacker die Kontrolle über den Computer des Opfers. Hier ersetzte die Malware legitime DLL-Dateien in Browserinstallationen durch böswillige Kopien, sodass SilentFade den Browser steuern konnte. Zu den Zielbrowsern gehörten Chrome, Firefox, Internet Explorer, Opera, Edge, Orbitum, Amigo, Touch, Kometa und der Yandex-Browser.

Die böswilligen DLLs haben im Browser gespeicherte Anmeldeinformationen gestohlen, vor allem aber Cookies für Browsersitzungen. SilentFade verwendete dann das Facebook-Sitzungscookie, um Zugriff auf das Facebook-Konto des Opfers zu erhalten, ohne dass Anmeldeinformationen oder ein 2FA-Token angegeben werden mussten. Das Konto wurde als legitimer und bereits authentifizierter Kontoinhaber weitergegeben. Sobald die Kriminellen die Zugangsberechtigung erhalten hatten, suchten sie nach Konten, die eine Zahlungsmethode in ihrem Account hinterlegt hatten. Die Hacker verwendeten die finanziellen Mittel des Opfers infolge, um in deren Namen Werbung im sozialen Netzwerk zu schalten.

Zudem hat die Malware mit Hilfe von Skripten viele Sicherheitsfunktionen des sozialen Netzwerks deaktiviert. Die Hacker entdeckten eine Sicherheitsanfälligkeit in der Facebook-Plattform und nutzten diese aus. Um zu verhindern, dass Benutzer herausfinden, dass jemand auf ihr Konto zugegriffen hat oder Anzeigen in ihrem Namen veröffentlichte, nutzte die SilentFade-Group ihre Kontrolle über den Browser, um auf den Facebook-Einstellungsbereich des Benutzers zuzugreifen. Man schloss so zugleich aus, dass Benutzer die deaktivierten Funktionen (Site-Benachrichtigungen, Chat-Benachrichtigungstöne, SMS-Benachrichtigungen, E-Mail) wieder aktivieren konnten. In dem Wissen, dass die Sicherheitssysteme von Facebook verdächtige Aktivitäten und Anmeldungen erkennen und den Benutzer über eine private Nachricht benachrichtigen könnten, blockierten die Hacker ferner noch die Konten für Facebook for Business und Facebook Login Alerts.

Facebook bemerkte das Problem, weil viele User von verdächtige Aktivitäten und nicht genehmigten Geld-Transaktionen auf ihren Konten berichteten.


Facebook: GitHub-Konto führte zur Hacker-Bande

„Dies war das erste Mal, dass Malware aktiv Benachrichtigungseinstellungen änderte, Seiten blockierte und einen Fehler im blockierenden Subsystem ausnutzte, um die Persistenz in einem gefährdeten Konto aufrechtzuerhalten. Die Ausnutzung dieses Benachrichtigungsfehlers wurde jedoch zu einem Wegweiser, der uns dabei half, gefährdete Konten zu erkennen. Wir konnten so das Ausmaß der Infektionen messen. Zudem war es uns möglich den Missbrauch, der von Benutzerkonten ausgeht, der Malware zuzuordnen, die für die anfängliche Kontokompromittierung verantwortlich ist.“

Das Facebook-Sicherheitsteam untersuchte ein aufgespürtes GitHub-Konto, in dem viele der Bibliotheken gehostet wurden, mit denen man die SilentFade-Malware erstellte. Die Sicherheitsexperten haben dieses Konto und die SilentFade-Malware auf ILikeAd Media International Company, ein 2016 gegründetes Softwareunternehmen mit Sitz in Hongkong, sowie auf zwei seiner Mitarbeiter, Chen Xiao Kong und Huang Tao, zurückgeführt. Facebook hat das Unternehmen und die beiden Entwickler im Dezember 2019 verklagt. Das Verfahren läuft aktuell noch.

Nach dem Schließen der Sicherheitslücke und dem Aktivieren der Benachrichtigungs-Optionen für die Nutzer, erstattete Facebook allen betroffenen Nutzern das durch die Attacke eingebüßte Geld zurück.

Tarnkappe.info

Ich bin bereits seit Januar 2016 Tarnkappen-Autor. Eingestiegen bin ich zunächst mit Buch-Rezensionen. Inzwischen schreibe ich bevorzugt über juristische Themen, wie P2P-Fälle, greife aber auch andere Netzthemen, wie Cybercrime, auf. Meine Interessen beziehen sich hauptsächlich auf Literatur.