Nie kilkaj w tę reklamę na Facebooku. Stracisz pieniądze i cenne dane

Według raportu Mandiant, grupa UNC6032 wykorzystuje reklamy w serwisach społecznościowych, takich jak Facebook i LinkedIn, do rozpowszechniania fałszywych stron internetowych podszywających się pod znane narzędzia AI. Od listopada 2024 roku wykryto już tysiące takich ogłoszeń. Kampania promuje nieistniejące platformy, m.in. Luma AI, Canva Dream Lab oraz Kling AI, które rzekomo pozwalają użytkownikom na generowanie wideo na podstawie tekstu lub obrazów.

Kliknięcie w reklamę przenosi użytkownika na stronę, która do złudzenia przypomina interfejs prawdziwego narzędzia AI. Po wybraniu jednej z opcji i obejrzeniu animowanego paska ładowania, użytkownik otrzymuje do pobrania plik ZIP. Wewnątrz znajduje się złośliwe oprogramowanie, które po uruchomieniu otwiera dostęp do komputera, rejestruje naciskane klawisze oraz wyszukuje dane z menedżerów haseł i portfeli cyfrowych.

Każda z analizowanych stron oferowała ten sam złośliwy pakiet – malware o nazwie STARKVEIL, stworzony w języku Rust. Program ten nie działa samodzielnie, lecz jako tzw. dropper – narzędzie do uruchamiania innych szkodliwych komponentów. Po pierwszym otworzeniu pliku STARKVEIL symuluje błąd, aby skłonić użytkownika do ponownego uruchomienia, to zaś uruchamia dalszy ciąg infekcji.

W skład infekcji wchodzą trzy moduły. GRIMPULL to narzędzie pobierające kolejne dane z internetu, wyposażone w mechanizmy utrudniające jego wykrycie i analizę. XWORM to z kolei zdalny dostęp do komputera ofiary, z funkcjami takimi jak rejestracja klawiszy, wykonanie poleceń, przechwytywanie ekranu i rozprzestrzenianie się przez pamięci USB. Trzeci moduł, FROSTRIFT, wykorzystuje legalny proces systemu Windows, by utrzymać się w systemie i uzyskać dostęp do haseł i portfeli. Sprawdza on obecność aż 48 rozszerzeń przeglądarkowych związanych z bezpieczeństwem i finansami.

Dane zbierane przez te narzędzia przesyłane są za pośrednictwem API Telegramu – co pozwala cyberprzestępcom na bieżąco monitorować przechwycone informacje. Mandiant zauważa, że nie można dokładnie oszacować liczby poszkodowanych, ale reklamy zobaczyło kilka milionów osób.

Meta, właściciel Facebooka, poinformowała, że usunęła szkodliwe reklamy, zablokowała podejrzane adresy URL oraz zamknęła konta odpowiedzialne za ich publikację. Jednak firma nie jest w stanie określić, ile osób rzeczywiście padło ofiarą ataku.

Słowa przedstawicieli Facebooka potwierdzają twórcy raportu na temat zagrożenia. Mandiant pochwalił firmę Meta za współpracę i działania prewencyjne, podkreślając, że część podejrzanych aktywności została wykryta jeszcze przed rozpoczęciem formalnego śledztwa. Firma doceniła szybkie działania w zakresie usuwania zidentyfikowanych reklam, stron i kont.

Ostrzeżenie dla użytkowników internetu

Kampania UNC6032 pokazuje, że cyberprzestępcy coraz częściej sięgają po socjotechnikę, by uderzyć w użytkowników zaciekawionych nowymi technologiami. Popularność narzędzi AI czyni z nich doskonałą przynętę. Choć początkowo wydawały się adresowane głównie do grafików i twórców treści, obecnie ofiarą może paść każdy, kto po prostu kliknie w reklamę lub pobierze nieznany plik. Zabezpieczyć się przed tym, przynajmniej w teorii, jest bardzo prosto: wystarczy nie klikać w podejrzane reklamy i nie pobierać nieznanych plików.