攻击者正在劫持 Facebook 上的页面，以引诱受害者下载合法的人工智能 （AI） 照片编辑器，然后提供广泛分发的信息窃取程序来抢夺用户的凭据。

恶意广告活动由 Trend Micro 的研究人员发现，它利用了 AI 的普及，并结合了各种流行的威胁策略，包括网络钓鱼、社会工程和以恶意方式使用合法实用程序。最终的有效载荷是 Lumma 窃取程序，它针对敏感信息，包括用户凭据、系统详细信息、浏览器数据和扩展程序。

研究人员今天在一篇博客文章中指出，这次攻击取决于滥用付费Facebook促销活动，攻击者利用这些促销活动来引诱用户参与并最终提供恶意软件。

“一旦攻击者获得了对页面的控制权，就会发布广告来推广 AI 照片编辑器，导致受害者下载伪装成照片编辑器的端点管理实用程序，”趋势微威胁研究员 Jaromir Horejsi 写道。

他写道，攻击者还利用当前对人工智能技术和与之相关的工具的关注，使用这些工具“作为恶意活动的诱饵，包括网络钓鱼诈骗、深度伪造和自动攻击”。

到目前为止，与该活动相关的恶意包裹在 Windows 上产生了约 16,000 次下载，在 macOS 上产生了 1,200 次下载。但是，macOS 版本重定向到 Apple 网站而不是攻击者控制的站点，这表明攻击者仅针对 Windows 用户进行该活动。

网络钓鱼导致页面被劫持

广告系列中的典型攻击甚至在潜在受害者看到广告之前就开始了。攻击者首先向目标社交媒体页面的所有者发送网络钓鱼消息，以获得对页面的控制权，供自己恶意使用。发件人帐户通常看起来像一个空的配置文件，其中包含随机生成的用户名。

消息中的网络钓鱼链接以直接链接或个性化链接页面的形式发送，例如 linkup.top、bio.link、s.id 和 linkbio.co 等。有时，攻击者甚至会滥用 Facebook 的开放重定向 URL，使这些链接看起来更合法。

如果页面操作员点击链接，他们会看到一个屏幕，用于通过面向 Meta 开发人员的“业务支持中心”验证他们的信息。单击该屏幕的“在此处验证您的信息”链接会指向一个虚假的帐户保护页面，“在随后的几个步骤中，该页面会要求用户提供登录和接管其帐户所需的信息，例如他们的电话号码、电子邮件地址、生日和密码，”Horejsi 解释说。

在目标提供此信息后，攻击者会窃取配置文件并开始为 AI 照片编辑器创建和发布恶意广告，其中包含指向使用合法工具（例如 Evoto）名称的虚假域的链接。

“假照片编辑器网页看起来与原始网页非常相似，这有助于欺骗受害者认为他们正在下载照片编辑器，”Horejsi写道。

然而，上钩的用户实际上下载的是免费提供的 ITarian 端点管理软件。攻击者使用一系列后端进程控制，最终控制受害者的机器下载最终有效载荷，即 Lumma 窃取程序。

避免妥协

根据Trend Micro的说法，人们可以通过多种方式避免成为该活动的受害者和滥用社交媒体页面的威胁，这不仅会危及用户，而且还可以通过被盗的凭据导致二次攻击，这些凭据是企业基础设施的初始入口。

社交媒体用户应在其所有帐户上启用多因素身份验证，以增加额外的保护层，防止未经授权的访问，并定期更新和使用所有帐户的强大、唯一的密码。

组织还应该定期进行教育和提高认识，让员工了解在访问公司网络时潜伏在社交媒体上的危险，以及如何识别与网络钓鱼攻击相关的可疑消息和链接。

最后，组织和个人用户都应监控其帐户是否存在任何异常行为，例如意外的登录尝试或帐户信息的更改。组织应采用某种检测和响应机制。

 

 

 

 

转载自安全客