数据观澜物联网
快捷导航
您的位置:首页>物联网>>犯罪分子冒充 Meta 广告管理器窃取账户信息 >

犯罪分子冒充 Meta 广告管理器窃取账户信息

  发布时间:2025-12-07 15:01:02   作者:玩站小弟   我要评论
与所有的社交媒体一样,Facebook 也需要应对虚假账户、诈骗与恶意软件的威胁。过去的几周,研究人员发现冒充 Meta 与 Facebook的 广告管理器再次浮现。骗子承诺通过优化提供更好的广告推广 。

与所有的犯罪分冒社交媒体一样  ,Facebook 也需要应对虚假账户、广告管诈骗与恶意软件的理器威胁。过去的账户几周,研究人员发现冒充 Meta 与 Facebook的信息 广告管理器再次浮现 。骗子承诺通过优化提供更好的犯罪分冒广告推广效果,在使用骗子提供的广告管恶意软件时可以提高性能 。Meta 官方跟踪了例如 DuckTail 等多个攻击团伙 ,理器这些攻击团伙已经在 Facebook 平台活跃了多年。账户

研究人员发现了一种新的信息攻击方式,亿华云攻击者利用恶意 Chrome 扩展来窃取 Facebook 账户凭据 ,犯罪分冒攻击者与过去常见的广告管攻击团伙无关。在跟踪分析攻击时 ,理器研究人员发现攻击者将其中一个恶意软件文件与窃取的账户数据打包时存在失误 。

虚假广告管理器

Ads Manager 是信息一款帮助用户在 Facebook 、Instagram 与 Meta 等平台上投放在线广告的产品。5 月份,TechCrunch 披露了诈骗者如何通过验证后的账户从 Meta 购买广告。他们试图吸引潜在的受害者下载该软件 ,诱骗受害者可以通过“更专业 、高防服务器更安全的工具”来管理广告 。

六月初,研究人员就发现了使用类似诱饵、相同方式的欺诈账户  。值得注意的是 ,这些欺诈账户通常拥有数以万计的关注者,其消息可以迅速传播。

image.png-745.6kB

欺诈账户

诈骗者主要针对在该平台上想要投放广告的人 。为了入侵这些账户 ,攻击者将受害者重定向到外部网站  。模板下载这些网站使用官方的图标构建 ,引诱受害者通过链接下载 Facebook 广告管理器。各大云服务提供商都被攻击者用于托管加密压缩包 ,如 Google、Trello 等  。

image.png-470.4kB

钓鱼网站

恶意 Chrome 扩展

压缩文件解压后,为一个 MSI 安装程序 。该程序会在 C:\Program Files (x86)\Ads Manager\Ads Manager 下安装多个组件,包括批处理脚本与两个文件夹。其中有一个自定义的 Chrome 扩展 ,而 System 文件夹中包含单独的 WebDriver 文件。

image.png-493.3kB

文件组件

批处理脚本在 MSI 安装程序完成后启动,生成一个新的源码库浏览器窗口。浏览器加载自定义扩展,将受害者引导至 Facebook 登录页面 。

复制taskkill /F /IM chrome.exe taskkill /F /IM chromedriver.exe timeout /t 1 >nul start chrome.exe --load-extension="%~dp0/nmmhkkegccagdldgiimedpiccmgmiedagg4" "https://www.facebook.com/business/tools/ads-manager"1.2.3.4.

image.png-169.8kB

虚假登录页面

自定义扩展程序伪装成 Google Translate ,但根据源码查看其进行了十六进制混淆,试图隐藏真实意图。

image.png-1642.7kB

恶意扩展

对扩展程序进行逆向分析后,可以知道其与谷歌翻译无关 ,旨在获取 Facebook 的账户凭据与 Cookie 。攻击者除了使用 cookies.getAll 外 ,还使用 Google Analytics 窃取数据 。

image.png-446.8kB

数据泄露

意外泄露

研究人员总共发现了二十余个不同的恶意 Facebook 广告管理器的安装包,尽管使用的服务器租用样本存在差异,但主要还是为了窃取 Facebook 账户凭据 。

image.png-404.7kB

各种安装包

在分析各种钓鱼网站时,研究人员发现了一个与其他完全不同的压缩文件。讽刺的是 ,攻击者没有将恶意软件放入其中,而是把窃取的数据上传上来 。

image.png-1233.5kB

错误文件

压缩文件中包含几个最后修改时间为 6 月 15 日的几个文件文件 :

image.png-253.5kB

泄露的文件

看文件名就知道内容 ,免费模板文件中包含有关身份验证的各种信息(Cookie、Token 等)。

image.png-143.4kB

文件详细信息

名为 List_ADS_Tach.txt 的文件的第一行包含一些越南语的列名称,攻击者可能是越南籍。数据总共 828 行 ,也就是被泄露的 Facebook 账户的数量 。

image.png-523.1kB

窃取账户的信息

攻击者对受害者的广告账户特别感兴趣,获取了与其广告预算有关的各项数据。

image.png-804.1kB

广告信息

广告账户里有大量余额的都会被攻击者盯上 ,来获取经济利益 。

image.png-140kB

账户余额

将这些数据在地图上进行标记,可以发现受害者遍布世界各地 。

受害者分布

几天后,攻击者发现了这个错误,从 Google Drive 中删除了文件 。也更新了钓鱼网站对应的链接 ,使用 MediaFire 托管了新文件 。

image.png-701.1kB

更新钓鱼网站

低成本的威胁

企业可能会想要下载那些声称可以增加收入的程序来优化 Facebook 上的广告活动。但请记住,天下没有灵丹妙药,任何听起来好的令人难以置信的事情通常都是骗局 。

欺诈者花费了大量时间,研究与了解如何滥用社交媒体。社交媒体平台上,需要持续与欺诈者进行对抗。

  • Tag:

相关文章

  • 如何应对物联网安全挑战?

    对于各行业领域来说,安全性已经迫在眉睫,许多物联网专家指出,安全性并不是许多企业的重中之重。在遭遇大量DDoS攻击和采用物联网设备之后,企业仍在努力解决物联网安全问题。以下了解为什么物联网安全继续对企
    2025-12-07

  • 卡巴斯基发现UEFI恶意程序CosmicStrand 华硕和技嘉主板受影响

    ​反病毒厂商卡巴斯基的一支安全威胁研究团队近日发现了名为“CosmicStrand”的恶意程序。事实上,这款恶意程序并不是新病毒,而且曾在 2016-2017 年爆发“Spy Shadow”木马的更早
    2025-12-07

  • 零信任网络分段如何防止网络入侵在整个企业蔓延

    就网络安全而言,我们现在正处于“遏制/控制”的时代。“预防”和“检测”的时代——当时的重点是将攻击者拒之门外,或是在他们成功入侵后迅速找到他们——已经结束了!但这并不是说企业应该停止他们的预防和检测策
    2025-12-07

  • 有人用Deepfake冒充马斯克,说自己创立了一个加密货币交易平台,马斯克:不是本人

    大数据文摘出品币圈又有新骗局辣!因为马斯克在币圈的号召力,但凡马斯克提到的数字货币,都能大涨,于是有人就盯上了马斯克。只不过和之前假装马斯克的Twitter账号相比,这次的这个骗局显得更加“真实”,直
    2025-12-07

  • 公安部:不断提升我国网络安全和数据安全保护能力

    ​公安机关作为网络安全监管部门,认真履职尽责,指导监督各单位、各部门贯彻落实国家网络安全等级保护制度和关键信息基础设施安全保护制度要求,不断提升我国网络安全和数据安全保护能力,保护数字经济发展。一是健
    2025-12-07

  • 寓教于乐:八款在线网络安全游戏 考验你的网络安全技能

    虽然网络安全通常不直接与娱乐和游戏挂钩,但是学习过程却可以完全娱乐化、游戏化。以下8款在线网络安全游戏,通过安全漏洞和攻击模拟来测试您的网络防御能力。这些选项中既有免费的在线网络安全游戏,也有更为专业
    2025-12-07

最新评论