Golpe de anúncios do Facebook rouba mais de 615.000 logins em campanha de phishing

Os anúncios do Facebook e as páginas do Github parecem ser a última rota escolhida pelos invasores da segurança cibernética para procurar e roubar credenciais de usuários do Facebook.

Pesquisadores da empresa nepalesa de segurança cibernética Threat Nix descobriram uma ampla campanha voltada para o Nepal, Filipinas, Egito e vários outros países.

Prevê-se que esta campanha pode já ter atingido pelo menos 50 países e mais de 615.000 usuários, e um número de vítimas parece estar aumentando a um ritmo rápido de 100 vítimas por minuto.

Esta campanha foi descoberta pela primeira vez pelos pesquisadores quando eles notaram um post patrocinado no Facebook oferecendo 3 GB de dados móveis de um provedor de telecomunicações do Nepal.

Depois que o anúncio foi clicado, ele levou a um site de phishing hospedado em uma página do Github. Essas páginas imitavam muito a página original e era quase impossível dizer a diferença entre as páginas originais e falsas.

https://threatnix.io/blog/wp-content/uploads/2020/12/image-5.png

Como funciona o ataque?

Os sites de phishing imitaram a página de login do Facebook e roubaram as credenciais das vítimas desavisadas e isso alcançaria dois endpoints, um para um banco de dados Firestore e outro para um domínio pertencente ao grupo de phishing.

Embora o Facebook faça muito para garantir que tais páginas de phishing sejam negadas para anúncios, neste caso, os invasores foram inteligentes e conseguiram encontrar uma brecha no processo. Eles usaram os links do Bitly que apontariam para uma página não hostil e, uma vez que o anúncio foi aprovado, ele foi modificado para a página de phishing.

https://threatnix.io/blog/wp-content/uploads/2020/12/image-6-1024x562.png

Quase 500 repositórios Github contendo páginas de phishing foram descobertos. É possível que táticas semelhantes tenham sido usadas anteriormente, já que a primeira dessas páginas remonta a 5 meses e alguns dos repositórios foram excluídos.

O domínio está registrado e hospedado no GoDaddy e foi registada em 3 rd abril 2020.Four outros domínios também foram identificados e ligados com este esquema.

Threat Nix está trabalhando com as autoridades competentes para rastrear esses invasores e remover as páginas de phishing maliciosas. Nenhum detalhe adicional foi divulgado ainda, pois esta é uma investigação em andamento.