Comment un gang chinois a escroqué 4 millions de dollars à des utilisateurs de Facebook

SilentFade a utilisé une combinaison d’un rootkit Windows, d’injections dans le navigateur, de scripts intelligents et d’un bug “zero-day” dans la plateforme Facebook, montrant un modus operandi sophistiqué rarement vu avec les autres pirates ciblant la plateforme Facebook. L’objectif des opérations de SilentFade était d’infecter les utilisateurs avec le rootkit, de détourner les navigateurs des utilisateurs et de voler les mots de passe et les cookies des navigateurs afin qu’ils puissent accéder aux comptes Facebook.

Une fois qu’ils y ont eu accès, le groupe a cherché des comptes sur lesquels un mode de paiement quelconque était présent. Pour ces comptes, SilentFade a acheté des publicités Facebook avec l’argent de la victime.

Bien qu’il n’ait été opérationnel que pendant quelques mois, Facebook a déclaré que le groupe a réussi à escroquer les utilisateurs de plus de 4 millions de dollars, qu’ils ont utilisés pour poster des publicités Facebook malveillantes sur le réseau social. Les annonces, qui apparaissaient généralement dans la zone géographique de l’utilisateur infecté, pour limiter leur exposition, utilisaient un modèle similaire.

Ils ont utilisé des raccourcis d’URL et des images de célébrités pour attirer les utilisateurs sur des sites vendant des produits douteux, tels que des produits minceur, des pilules, etc.

Facebook a découvert les opérations de SilentFade en février 2019, suite à des rapports d’utilisateurs faisant état d’activités suspectes et de transactions illégales provenant de leurs comptes.

Au cours de l’enquête qui a suivi, Facebook a déclaré avoir trouvé les logiciels malveillants du groupe, les souches de logiciels malveillants précédentes et des campagnes remontant à 2016, et a même retracé les opérations du gang jusqu’à une société chinoise et deux développeurs, que la société a poursuivis en décembre 2019.

Les débuts de SilentFade

Selon Facebook, le gang SilentFade a commencé à opérer en 2016, lorsqu’il a développé une souche de malware appelée SuperCPA, principalement destinée aux utilisateurs chinois. “On ne sait pas grand-chose sur ce malware car il est principalement piloté par les fichiers de configuration téléchargés, mais nous pensons qu’il a été utilisé pour la fraude au clic – donc le CPA dans ce cas fait référence au coût par action – par le biais d’une base d’installation de victimes en Chine”, ont écrit Sanchit Karve et Jennifer Urgilez, de Facebook, dans leur rapport sur SilentFade.

Mais Facebook affirme que le groupe a abandonné le malware SuperCPA en 2017 lorsqu’il a développé la première itération du malware SilentFade. Cette première version contenait son rootkit et des navigateurs infectés pour voler les identifiants des comptes Facebook et Twitter, en mettant l’accent sur les profils vérifiés et les profils de haut niveau.

Mais le développement de SilentFade a repris en 2018 lorsque sa version la plus dangereuse et celle utilisée lors des attaques de 2018 et 2019 ont vu le jour.

Comment SilentFade s’est répandu en ligne

Karve et Urgilez affirment que le gang a diffusé la version moderne de SilentFade en l’associant à un logiciel légitime qu’ils ont proposé de télécharger en ligne. Facebook a déclaré avoir trouvé des publicités des deux développeurs de SilentFade sur des forums de piratage où ils étaient prêts à acheter du trafic web sur des sites piratés ou d’autres sources, et à rediriger ce trafic vers les pages hébergeant les paquets de logiciels infectés par SilentFade.

Une fois les utilisateurs infectés, le trojan de SilentFade prenait le contrôle de l’ordinateur Windows d’une victime, mais plutôt que d’abuser du système pour des opérations plus intrusives, il ne faisait que remplacer les fichiers DLL légitimes à l’intérieur des installations du navigateur par des versions malveillantes de la même DLL qui permettait au gang de SilentFade de contrôler le navigateur.

Les navigateurs ciblés étaient Chrome, Firefox, Internet Explorer, Opera, Edge, Orbitum, Amigo, Touch, Kometa et le navigateur Yandex. Les DLL malveillantes volaient les informations d’identification stockées dans le navigateur, mais surtout les cookies de session du navigateur. SilentFade a ensuite utilisé le cookie de session Facebook pour accéder au compte Facebook de la victime sans avoir à fournir d’informations d’identification ni de jeton 2FA, se faisant passer pour un titulaire de compte légitime et déjà authentifié.

La faille “zero-day” de Facebook

C’est ici que SilentFade a montré sa véritable sophistication. Facebook a déclaré que le malware utilisait des scripts intelligents pour désactiver de nombreuses fonctions de sécurité du réseau social, et a même découvert et utilisé une faille “zero-day” de Facebook pour empêcher les utilisateurs de réactiver les fonctions désactivées.

Karve et Urgilez ont déclaré que pour empêcher les utilisateurs de découvrir que quelqu’un a pu accéder à leur compte ou a publié des publicités en leur nom, le gang SilentFade a utilisé son contrôle sur le navigateur pour accéder à la section des paramètres Facebook de l’utilisateur et la désactiver :

• Notifications de sites
• Sons de notification de chat
• Notifications par SMS
• Notifications par courrier électronique de tout type
• Notifications liées à la page

Mais SilentFade ne s’est pas arrêté là. Sachant que les systèmes de sécurité de Facebook pouvaient détecter des activités et des connexions suspectes et en informer l’utilisateur par le biais d’un message privé, le gang SilentFade a également bloqué les comptes Facebook for Business et Facebook Login Alerts qui avaient envoyé ces messages privés.

Le groupe SilentFade a alors recherché un bug dans la plateforme Facebook et en a abusé chaque fois que l’utilisateur a essayé de débloquer les comptes, déclenchant une erreur et empêchant les utilisateurs de supprimer les deux interdictions de comptes.

“C’est la première fois que nous avons observé un malware modifiant activement les paramètres de notification, bloquant des pages et exploitant un bug pour maintenir la persistance d’un compte compromis”, a déclaré Facebook.

“L’exploitation de ce bug lié à la notification est cependant devenue un atout qui nous a permis de détecter les comptes compromis, de mesurer l’ampleur des infections SilentFade et de faire correspondre les abus provenant des comptes d’utilisateurs aux logiciels malveillants responsables de la compromission initiale du compte”.

Facebook a remboursé tous les utilisateurs

Facebook a déclaré qu’il avait corrigé la faille “zero-day”, annulé les actions de blocage des notifications du logiciel malveillant et remboursé tous les utilisateurs dont les comptes ont été utilisés abusivement pour acheter des publicités Facebook malveillantes. La société ne s’est pas arrêtée là. Tout au long de l’année 2019, elle a traqué le malware et ses créateurs. Des indices ont été trouvés dans un compte GitHub qui hébergeait apparemment de nombreuses bibliothèques utilisées pour créer le malware SilentFade.

Facebook a retrouvé ce compte et le malware SilentFade auprès de ILikeAd Media International Company Ltd., une entreprise de logiciels basée à Hong Kong et fondée en 2016, ainsi que deux personnes : Chen Xiao Cong et Huang Tao. Facebook a poursuivi la société et les deux développeurs en décembre 2019 dans une affaire judiciaire toujours en cours.

Facebook a également déclaré que SilentFade faisait partie d’une tendance plus large et d’une nouvelle génération d’acteurs de la cybercriminalité qui semblent résider en Chine et qui ont constamment ciblé sa plateforme et sa juteuse base de 2 milliards d’utilisateurs. Cela inclut également les sites Scranos, FacebookRobot et StressPaint.