È stata scoperta una campagna di phishing su larga scala che ha sfruttato Facebook e Messenger per indurre milioni di persone a inserire le credenziali del proprio account e far scorrere annunci sulle pagine di phishing.
I gestori della campagna hanno utilizzato questi account rubati per inviare più messaggi di phishing ad altrettanti conoscenti, ottenendo un’enorme somma di denaro dalle commissioni pubblicitarie online.
Si tratta, dunque, di una “vecchia” tecnica di attacco, quella del phishing, messa in atto sfruttando nuovi metodi per indurre gli utenti a fornire i propri dati personali.
Indice degli argomenti
Tattiche di phishing: un furto di massa
L’attività malevola sembra aver raggiunto il picco intorno ad aprile-maggio 2022, secondo PIXM, un’azienda di sicurezza informatica incentrata sull’intelligenza artificiale con sede a New York, ma la campagna è attiva almeno da settembre 2021.
Uno degli URL di phishing scoperti aveva un collegamento a uno strumento di monitoraggio del traffico (whos.amung.us) che era disponibile pubblicamente senza autenticazione, consentendo a PIXM di rintracciare l’attore della minaccia e mappare la campagna.
Sebbene le origini siano sconosciute, PIXM afferma che le vittime sono state indirizzate a pagine di destinazione di phishing tramite una serie di reindirizzamenti di Facebook Messenger. Gli attori delle minacce hanno utilizzato strumenti automatizzati per inviare nuovi collegamenti di phishing agli amici dell’account compromesso non appena più account Facebook sono stati violati, determinando un enorme aumento degli account rubati e una catena di diffusione senza precedenti.
“L’account di un utente verrebbe compromesso e, in modo probabilmente automatizzato, l’autore della minaccia accederebbe a tale account e invierà il collegamento agli amici dell’utente tramite Facebook Messenger”, spiega PIXM nel rapporto.
Come si spiega il successo di questa campagna
Sebbene Facebook disponga di misure di sicurezza per prevenire la diffusione di URL di phishing, gli attori delle minacce hanno sfruttato una scappatoia per aggirare queste protezioni.
L’utilizzo di servizi di generazione di URL legittimi, tra cui litch.me, amaze.co, famous.co e funnel-preview.com sono stati tra gli strumenti impiegati nelle e-mail di phishing: in questo modo, i filtri trovano già più difficile vietare tali contenuti, perché le app legittime li utilizzano e sono considerati affidabili.
I ricercatori hanno scoperto che 2,7 milioni di persone avevano visitato uno dei siti di phishing nel 2021 dopo aver realizzato che avrebbero potuto acquisire un accesso non autenticato alle pagine delle statistiche della campagna di phishing stessa.
Questa statistica è aumentata a 8,5 milioni nel 2022, indicando l’enorme espansione della campagna. Dopo aver scavato più a fondo, i ricercatori hanno scoperto 405 diversi nomi utente utilizzati come ID campagna, ognuno con la propria pagina di phishing di Facebook. Il numero di visualizzazioni di pagina su questi URL di phishing variava da 4.000 a milioni, con uno che ha raggiunto l’incredibile cifra di 6 milioni di visualizzazioni.
Secondo i ricercatori, queste 405 identità sono solo una piccola parte del numero totale di account impiegati nello sforzo.
La seconda ondata di reindirizzamenti inizia quando la vittima inserisce le proprie credenziali nella pagina di destinazione del phishing, portando così a pagine pubblicitarie, moduli di sondaggi e via dicendo. Questi reindirizzamenti forniscono entrate da referral per gli attori della minaccia, che si ritiene siano milioni di dollari, analizzati in funzione delle visite ricevute.
Chi può esserci dietro questa campagna
Su tutte le pagine di destinazione, PIXM ha scoperto uno snippet di codice simile contenente un riferimento a un sito Web sequestrato nell’ambito di un’indagine contro un individuo colombiano di nome Rafael Dorado. Non si sa invece chi abbia preso il controllo del dominio nella più recente attualità.
Una ricerca whois inversa ha rivelato legami con una vera attività di sviluppo web in Colombia e antichi siti Web che vendono Facebook “like bot” e servizi di hacking. I risultati dell’indagine di PIXM sono stati condivisi con la polizia colombiana e l’Interpol, ma le indagini sono ancora in corso, anche se molti degli URL identificati sono chiaramente stati oscurati e segnalati agli opportuni DNS.
Si è scoperto che dietro la campagna ci possano essere diverse aziende di sviluppo web legittime della Colombia, scoprendo anche che il principale operatore dell’attacco è conosciuto con gli alias “developerdorado” e “hackerasueldo”.
I ricercatori di PIXM hanno condiviso i risultati dell’indagine con la polizia colombiana e l’Interpol, ma, a quanto si sa, la campagna è ancora in corso, anche se molti degli URL identificati sono andati offline.
