Saldırganlar sayfaları ele geçirme Facebook’ta kurbanları yasal bir yapay zeka (YZ) fotoğraf düzenleyicisini indirmeye ikna etmek için kullanılan bir uygulama, ancak daha sonra kullanıcıların kimlik bilgilerini çalmak için yaygın olarak dağıtılan bir bilgi hırsızı sunuyor.
Kötü amaçlı reklam kampanyası, araştırmacılar tarafından keşfedildi Trend Micro’da, AI’nın popülerliğinden yararlanır ve kimlik avı, sosyal mühendislik ve meşru bir yardımcı programı kötü amaçlı bir şekilde kullanma gibi çeşitli popüler tehdit taktiklerini birleştirir. Nihai yük, Lumma hırsızı, Kullanıcı kimlik bilgileri, sistem ayrıntıları, tarayıcı verileri ve uzantılar gibi hassas bilgileri hedef alan.
Saldırı, kötüye kullanıma dayanıyor ücretli Facebook promosyonları, Hangi saldırganlar kaldıraç kullandı Araştırmacılar bugün yayınladıkları blog yazısında, kullanıcıları etkileşime çekmek ve nihayetinde kötü amaçlı yazılımları iletmek için böyle bir girişimde bulunduklarını belirtti.
Trend Micro tehdit araştırmacısı Jaromir Horejsi, “Saldırgan sayfanın kontrolünü ele geçirdiğinde, yapay zeka fotoğraf düzenleyicisini tanıtan reklamlar yayınlanıyor ve kurbanlar, fotoğraf düzenleyicisi kılığında bir uç nokta yönetim yardımcı programını indirmeye yönlendiriliyor” diye yazdı.
Saldırganlar ayrıca şu anda dikkat çeken şeylerden de yararlanıyor Yapay zeka teknolojisi ve bunlarla ilişkili araçları “kötü amaçlı faaliyetler için yem olarak kullanarak, kimlik avı dolandırıcılığı, deepfake ve otomatik saldırılar gibi” saldırılar düzenlediklerini yazdı.
Şimdiye kadar, kampanyayla ilişkili kötü amaçlı paket Windows’ta yaklaşık 16.000 ve macOS’ta 1.200 indirme üretti. Ancak macOS sürümü, saldırgan tarafından kontrol edilen bir site yerine Apple web sitesine yönlendiriyor ve bu da saldırganların kampanyayla yalnızca Windows kullanıcılarını hedef aldığını gösteriyor.
Kimlik Avı, Ele Geçirilmiş Sayfalara Yol Açar
Kampanyadaki tipik bir saldırı, potansiyel bir kurban bir reklamı görmeden önce başlar. Saldırganlar, hedeflenen sosyal medya sayfasının sahiplerine kimlik avı mesajları göndererek başlar ve kendi kötü amaçlı kullanımları için sayfanın kontrolünü ele geçirirler. Gönderen hesap genellikle rastgele oluşturulmuş kullanıcı adlarına sahip boş bir profil gibi görünür.
The kimlik avı bağlantıları mesajlarda ya doğrudan bağlantılar ya da kişiselleştirilmiş bağlantı sayfaları olarak gönderilir, örneğin linkup.top, bio.link, s.id ve linkbio.co, diğerleri arasında. Bazen saldırganlar, bu bağlantıların daha meşru görünmesi için Facebook’un açık yönlendirme URL’sini bile kötüye kullanırlar.
Sayfa operatörü bağlantılara tıklarsa, Meta geliştiricileri için bir “İş Destek Merkezi” ile bilgilerini doğrulamaları için bir ekran sunulur. Bu ekranın “Bilgilerinizi Burada Doğrulayın” bağlantısına tıklamak, sahte bir hesap koruma sayfasına yönlendirir, “bu sayfa, birkaç sonraki adımda, kullanıcıların telefon numarası, e-posta adresi, doğum günü ve parola gibi hesaplarını ele geçirmek ve oturum açmak için gerekli bilgileri ister,” diye açıkladı Horejsi.
Hedef bu bilgileri sağladıktan sonra saldırgan profili çalar ve sahte bir etki alanına bağlantılar içeren, meşru bir aracın adını kullanan bir yapay zeka fotoğraf düzenleyicisi için kötü amaçlı reklamlar oluşturmaya ve yayınlamaya başlar. Evoto gibi.
Horejsi, “Sahte fotoğraf düzenleme web sayfası, orijinaline çok benziyor ve bu da kurbanın bir fotoğraf düzenleme programı indirdiğini düşünmesine neden oluyor” diye yazdı.
Ancak, yemi yutan bir kullanıcının aslında indirdiği şey, serbestçe erişilebilen ITarian uç nokta yönetim yazılımıdır. Bir dizi arka uç işlem kontrolü kullanan saldırgan, nihayetinde kurbanın makinesini kontrol ederek son yükü, yani Lumma hırsızını indirir.
Uzlaşmadan Kaçınmak
İnsanların kampanya ve tehditlere kurban gitmekten kaçınmalarının birçok yolu vardır. sosyal medya sayfalarını kötüye kullanmakTrend Micro’ya göre, bu durum yalnızca kullanıcıları tehlikeye atmakla kalmıyor, aynı zamanda kurumsal altyapıya ilk giriş işlevi gören çalınan kimlik bilgileri yoluyla ikincil saldırılara da yol açabiliyor.
Sosyal medya kullanıcıları şunları etkinleştirmelidir: çok faktörlü kimlik doğrulama Yetkisiz erişime karşı ekstra bir koruma katmanı eklemek için tüm hesaplarında güçlü ve benzersiz parolalar kullanmanın yanı sıra, tüm hesaplarında düzenli olarak güncelleme yapmaları ve parolaları kullanmaları gerekir.
Kuruluşlar ayrıca düzenli olarak uygulama yapmalıdır eğitim ve farkındalık Çalışanlarını, kurumsal ağlara erişirken sosyal medyada gizlenen tehlikeler konusunda bilgilendirmek ve kimlik avı saldırılarıyla ilişkili şüpheli mesajları ve bağlantıları nasıl tespit edeceklerini öğretmek.
Son olarak, hem kuruluşlar hem de bireysel kullanıcılar, beklenmedik oturum açma girişimleri veya hesap bilgilerinde değişiklikler gibi olağandışı davranışlara karşı hesaplarını izlemelidir. Kuruluşlar bir tür tespit ve yanıt mekanizması kullanmalıdır.