Facebook reklame kriju opasnu zamku: Instaliraš aplikaciju – a otvaraš vrata hakerima!

Facebook, najpopularnija društvena mreža na svetu, postala je neočekivana odskočna daska za sofisticiranu sajber kampanju. Napadači koriste hiljade oglasa kako bi prevarili korisnike da preuzmu maliciozne aplikacije koje oponašaju poznate kripto-platforme poput TradingView-a.

Zlonamerni kod je pažljivo sakriven u instalacionom paketu, a instalater koristi Microsoft Edge sistemsku komponentu (msedge_proxy.exe) da bi otvorio pravi sajt platforme – tako da korisnik ne primeti ništa neobično. Ovo vizuelno maskiranje omogućava malveru da radi u pozadini dok korisnik misli da je sve legitimno.

Da bi infekcija uspela, i kompromitovani sajt i instalacioni fajl moraju raditi istovremeno. To je dodatna mera zaštite za napadače – jer otežava istraživačima da izoluju i analiziraju kod, a korisnicima da posumnjaju da se išta dešava van uobičajenog toka instalacije.

Nakon instalacije, maliciozni DLL moduli uspostavljaju lokalnu HTTP vezu na portu 30303. Ova veza služi za razmenu sistemskih podataka, nadzor nad procesom instalacije i dalju komunikaciju sa komandno-kontrolnim serverima napadača.

Informacije koje se prikupljaju uključuju detalje o uređaju, mrežnim konekcijama i softveru, a sve se pakuje u JSON formatu i šalje putem PowerShell skripti. Korišćenje ovog skrivenog kanala omogućava napadačima da ostanu nevidljivi za većinu bezbednosnih alata.

Ako napadači procene da je žrtva vredna – na primer zbog kripto imovine, povezanih naloga ili sistemskih privilegija – aktivira se glavni alat: JSCEAL malver. U tom trenutku počinje duboka i trajna kompromitacija uređaja.

JSCEAL omogućava presretanje celokupnog web saobraćaja, injekciju malicioznih skripti na stranice koje korisnik posećuje, krađu kolačića, zapamćenih lozinki, pa čak i pristup Telegram nalozima. Uz to, malver može da pravi snimke ekrana, beleži pritiske na tastaturi i omogući napadaču potpuni daljinski pristup uređaju.

Iako je kampanja javno identifikovana tek nedavno, zapravo je aktivna još od marta 2024. godine. Napadači koriste kompajlirane JavaScript fajlove (JSC) koji zaobilaze tradicionalne alate za zaštitu i analiziranje zlonamernog koda.

Pod imenom WEEVILPROXY, ova operacija predstavlja evoluiranu pretnju jer kombinuje socijalni inženjering, tehničku sofisticiranost i visok nivo prikrivanja. Bezbednosni stručnjaci upozoravaju: ako koristite Facebook i trgujete kriptovalutama, ovo je trenutak da budete posebno oprezni.

Zabranjeno preuzimanje dela ili čitavog teksta i/ili foto/videa, bez navođenja i linkovanja izvora i autora, a u skladu sa odredbama WMG uslova korišćenja i Zakonom o javnom informisanju i medijima.

BONUS VIDEO:

Kina opet šokira svet: