Globálisan aktív, összetett csalási szisztémával dolgozó bandára hívja fel a figyelmet a Mandiant friss jelentése. A Google tulajdonában lévő biztonsági cég az UNC6032 néven hivatkozott csoport kampányát már 2024 novemberében észlelték, amely az azóta eltelt hónapok során több ezer facebookos, illetve néhány LinkedIn-en futtatott kamuhirdetéssel igyekezett lépre csalni az óvatlan netezőket.

Mézes madzagként a generatív mesterséges intelligencia, egészen pontosan a szöveges utasításból, vagy egy kép alapján videót alkotó technológia szolgált. A csalók létező modellek neve mögé bújva próbálták elhitetni az áldozatokkal, hogy csak néhány kattintásra vannak attól, hogy egy rakat kisfilmet készítsenek – természetesen pillanatok alatt és teljesen ingyen.

A hirdetésre ráharapókat egy preparált weboldalra vezették, amely látszólag tényleg arra szolgált, hogy a felhasználó hozzáférhessen egy videógenerálással foglalkozó szolgáltatáshoz. A hamis betöltő sáv azonban egy rosszindulatú adatcsomagot töltött a felhasználó gépére, amely lefuttatva egy sor malware-t élesít az immár megfertőzött gépen. Ezekkel pedig lehetővé válik többek között a billentyűleütések naplózása, a jelszavak elérése vagy éppen a digitális pénztárcák felkutatása.

A szakértői elemzés arra jutott, hogy a Vietnámhoz köthető UNC6032 ezzel a csalássorozattal csak Európában több mint 2,3 millió felhasználót ért el. Azt ugyanakkor a jelentés is kiemeli, hogy ennél a tényleges áldozatok száma természetesen jóval kevesebb lehet.

Proaktív védelem

A Facebookot tulajdonló Meta szóvivője a hír kapcsán a The Registernek nyilatkozva elmondta, hogy nem tudják, mennyien lehetnek tényleges érintettek, ám a cég a maga részéről mindent megtett, hiszen "a Meta eltávolította a rosszindulatú hirdetéseket, blokkolta az URL-eket, és deaktiválta a mögöttük álló fiókokat".

A közösségi óriás képviselője egyben méltatta az együttműködést az olyan biztonsági csoportokkal, mint amilyen a Google-höz köthető Mandiant. Utóbbi pedig szintén elismerően nyilatkozott a Metáról annak proaktív hozzáállása miatt, hiszen a rosszindulatúként azonosított elemek eltávolítása sok esetben már az előtt elkezdődött, hogy a biztonsági cég erre felhívta volna a figyelmet.

A helyzet azonban a látszólag példás együttműködés ellenére sem könnyű, hiszen a kiberbűnözők is folyamatosan fejlődnek és alkalmazkodnak az előttük tornyosuló biztonsági mechanizmusokhoz. A mostani kamu hirdetési kampány során például rendszeresen módosították, variálták a hirdetéseket, a malware-t tartalmazó céloldalakat és a megrendelői fiókokat is.

(Kép: Mandiant)