Wie sich diese Malware auf Benutzer auswirken kann
Im Dezember 2022 wurde eine Phishing-Kampagne zur Verbreitung zweier Malware-Varianten eingesetzt. Der Angreifer nutzte mehrere Facebook-Seiten und Benutzer, um Informationen zu posten, die die Opfer dazu verleiteten, einen Link von bekannten Cloud-Dateispeicheranbietern herunterzuladen. Nach dem Klicken wurde eine ZIP-Datei heruntergeladen, die die schädlichen Infostealer-EXE-Dateien enthält. Der Bericht enthält auch ein Beispiel für einen Facebook-Phishing-Beitrag, der Opfer dazu verleitet, die infizierte ZIP-Datei herunterzuladen.
Die erste Variante erzeugt verschiedene Prozesse, die als Indikatoren für abnormale Aktivitäten gelten könnten, einschließlich des Schließens von Popup-Fenstern auf der grafischen Benutzeroberfläche (GUI). Die zweite Variante hingegen ist diskreter und macht es schwieriger, böswillige Aktivitäten zu erkennen.
Beide Varianten können Anmeldeinformationen für Facebook-Geschäftskonten stehlen, indem sie mit der Benutzer-ID und dem Zugriffstoken des Opfers eine Verbindung zur Meta Graph-API herstellen. Die Graph-API ist die wichtigste Möglichkeit, Daten in und aus Facebook zu übertragen und kann zum programmgesteuerten Abfragen von Daten, zum Posten, zum Verwalten von Anzeigen und mehr verwendet werden.
Es wird verwendet, um Informationen über die Followerzahl des Ziels, den Benutzerverifizierungsstatus und ob das Konto im Voraus bezahlt ist, zu stehlen und an den Befehls- und Kontrollserver (C2) zu senden. Sie versuchen auch, die Anmeldeinformationen zu stehlen, indem sie die Cookies und lokalen Datenbanken der gängigsten Browser überprüfen.
Im Vergleich dazu geht die zweite Variante noch einen Schritt weiter, indem sie die E-Mail-Adresse des legitimen Benutzers durch ein Postfach unter der Kontrolle des Cyberangreifers ersetzt und ihn dadurch auf unbestimmte Zeit vom Konto aussperrt.