Golpe Sofisticado: Extensões Falsas Roubam Contas de Negócios do Meta

Novas campanhas de malvertising estão explorando anúncios maliciosos e sites falsos para distribuir extensões de navegador fraudulentas, visando roubar dados sensíveis e sequestrar contas de negócios do Meta. Pesquisadores de segurança alertam para o perigo dessas táticas que se aproveitam da confiança dos usuários em ferramentas de otimização e verificação.

Principais Pontos

• Duas campanhas distintas utilizam extensões falsas para roubar cookies de sessão e credenciais de contas do Meta.

• As extensões visam roubar informações para vender contas de negócios e anúncios em fóruns clandestinos.

• A campanha "Meta Verified" usa vídeos tutoriais para induzir a instalação de extensões que prometem o selo azul.

• A campanha "Madgicx Plus" promove ferramentas falsas de IA para otimização de anúncios, mas rouba dados e sequestra contas.

• Acredita-se que atores de ameaças de língua vietnamita estejam por trás de uma das campanhas.

Ameaça "Meta Verified" e "SocialMetrics Pro"

Uma campanha de malvertising está promovendo extensões de navegador falsas chamadas "SocialMetrics Pro", que prometem desbloquear o selo de verificação azul para perfis do Facebook e Instagram. Anúncios maliciosos, muitas vezes acompanhados por tutoriais em vídeo, guiam os usuários a baixar e instalar essas extensões. Na realidade, a extensão, hospedada em serviços de nuvem legítimos como o Box, é capaz de coletar cookies de sessão do Facebook e enviá-los para um bot do Telegram controlado pelos atacantes. Além disso, pode obter o endereço IP da vítima.

Algumas variantes dessas extensões roubam cookies para interagir com a API do Facebook Graph, buscando informações adicionais sobre as contas. O objetivo final é vender contas valiosas do Facebook Business e Ads em fóruns clandestinos ou usá-las para alimentar mais campanhas de malvertising, criando um ciclo vicioso de contas sequestradas.

A campanha exibe características associadas a atores de ameaças de língua vietnamita, conhecidos por usar famílias de malware "stealer" para obter acesso não autorizado a contas do Facebook. O uso de vietnamita em tutoriais e comentários no código-fonte reforça essa hipótese.

Ameaça "Madgicx Plus" e Ferramentas de IA Falsas

Paralelamente, outra campanha está visando anunciantes do Meta com extensões fraudulentas do Chrome, distribuídas através de sites falsificados que se passam por ferramentas de otimização de anúncios baseadas em inteligência artificial. O centro dessa operação é uma plataforma falsa chamada "Madgicx Plus".

Promovida como uma ferramenta para otimizar o gerenciamento de campanhas e aumentar o ROI usando IA, a extensão, na verdade, entrega funcionalidades maliciosas capazes de sequestrar sessões de negócios, roubar credenciais e comprometer contas do Meta Business. As extensões são promovidas como aprimoramentos de produtividade ou desempenho de anúncios, mas operam como malware de dupla finalidade.

Algumas das extensões identificadas incluem "Madgicx Plus - The SuperApp for Meta Advertisers" e "Meta Ads SuperTool". Uma vez instaladas, essas extensões obtêm acesso total a todos os sites visitados pelo usuário, permitindo que os atores de ameaças injetem scripts arbitrários, interceptem tráfego de rede, monitorem a atividade de navegação, capturem entradas de formulário e coletem dados sensíveis.

As extensões também solicitam que os usuários vinculem suas contas do Facebook e Google, enquanto suas informações de identidade são coletadas secretamente. Elas funcionam de maneira semelhante à extensão "Meta Verified" falsa, utilizando credenciais roubadas do Facebook para interagir com a API do Facebook Graph. Essa abordagem em etapas revela uma estratégia clara dos atores de ameaças: primeiro capturar dados de identidade do Google, depois migrar para o Facebook para ampliar o acesso e aumentar as chances de sequestrar ativos valiosos de negócios ou publicidade.