Os anĂșncios do Facebook e as pĂĄginas do Github parecem ser a Ășltima rota escolhida pelos invasores da segurança cibernĂ©tica para procurar e roubar credenciais de usuĂĄrios do Facebook.
Pesquisadores da empresa nepalesa de segurança cibernĂ©tica Threat Nix descobriram uma ampla campanha voltada para o Nepal, Filipinas, Egito e vĂĄrios outros paĂses.
PrevĂȘ-se que esta campanha pode jĂĄ ter atingido pelo menos 50 paĂses e mais de 615.000 usuĂĄrios, e um nĂșmero de vĂtimas parece estar aumentando a um ritmo rĂĄpido de 100 vĂtimas por minuto.
Esta campanha foi descoberta pela primeira vez pelos pesquisadores quando eles notaram um post patrocinado no Facebook oferecendo 3 GB de dados móveis de um provedor de telecomunicaçÔes do Nepal.
Depois que o anĂșncio foi clicado, ele levou a um site de phishing hospedado em uma pĂĄgina do Github. Essas pĂĄginas imitavam muito a pĂĄgina original e era quase impossĂvel dizer a diferença entre as pĂĄginas originais e falsas.
Como funciona o ataque?
Os sites de phishing imitaram a pĂĄgina de login do Facebook e roubaram as credenciais das vĂtimas desavisadas e isso alcançaria dois endpoints, um para um banco de dados Firestore e outro para um domĂnio pertencente ao grupo de phishing.
Embora o Facebook faça muito para garantir que tais pĂĄginas de phishing sejam negadas para anĂșncios, neste caso, os invasores foram inteligentes e conseguiram encontrar uma brecha no processo. Eles usaram os links do Bitly que apontariam para uma pĂĄgina nĂŁo hostil e, uma vez que o anĂșncio foi aprovado, ele foi modificado para a pĂĄgina de phishing.
Quase 500 repositĂłrios Github contendo pĂĄginas de phishing foram descobertos. Ă possĂvel que tĂĄticas semelhantes tenham sido usadas anteriormente, jĂĄ que a primeira dessas pĂĄginas remonta a 5 meses e alguns dos repositĂłrios foram excluĂdos.
O domĂnio estĂĄ registrado e hospedado no GoDaddy e foi registada em 3 rd abril 2020.Four outros domĂnios tambĂ©m foram identificados e ligados com este esquema.
Threat Nix estå trabalhando com as autoridades competentes para rastrear esses invasores e remover as påginas de phishing maliciosas. Nenhum detalhe adicional foi divulgado ainda, pois esta é uma investigação em andamento.