Eine aktuelle Facebook-Malvertising-Kampagne zielt auf Facebook-Nutzer ab, die nach KI-Bildbearbeitungstools suchen. Die Angriffe beginnen in der Regel mit Phishing-Nachrichten, die an Facebook-Seitenbesitzer oder -Administratoren gesendet werden. Klickt ein Opfer auf den in der Nachricht enthaltenen Link, wird es auf gefälschte Seiten weitergeleitet. Auf den Fake-Seiten, die den Originalen zum Verwechseln ähnlich sehen, sollen die Opfer dazu verleitet werden ihre Anmeldeinformationen preiszugeben.

Nachdem die Angreifer die Zugangsdaten gestohlen haben, kapern die Bedrohungsakteure die Facebook-Konten der Opfer, übernehmen die Kontrolle über die Facebook-Seiten, veröffentlichen bösartige Social-Media-Beiträge und bewerben diese dann über bezahlte Anzeigen-Werbung.

Ahnungslose Facebook-Benutzer (nicht die zuvor bereits hinters Licht geführten Facebook-Seitenbesitzer oder -Administratoren), die auf die in der bösartigen Anzeige beworbene URL klicken, werden auf eine gefälschte Webseite weitergeleitet, die sich als legitime KI-Software zur Fotobearbeitung und -generierung ausgibt, und werden dort aufgefordert, ein Softwarepaket herunterzuladen und zu installieren.

Anstelle einer KI-Bildbearbeitungssoftware installieren die Opfer jedoch das legitime ITarian-Remote-Desktop-Tool, das so konfiguriert ist, dass es einen Downloader startet, der automatisch die böswillige Lumma Stealer-Malware bereitstellt.

Anschließend dringt die Malware unbemerkt in das System der getäuschten Nutzer ein und ermöglicht es den Angreifern, vertrauliche Informationen wie Anmeldeinformationen, Kryptowährungs-Wallet-Dateien, Browserdaten und Passwort-Manager-Datenbanken zu stehlen.

Diese Daten werden später an andere Cyberkriminelle verkauft oder von den Angreifern verwendet, um die Online-Konten der Opfer zu manipulieren, ihr Geld zu stehlen oder weiterführende Betrügereien zu begehen.

Was Facebook- und Social-Media-Nutzer, Account-Administratoren, Seitenbesitzer, Unternehmen und Organisationen jetzt tun sollten

Benutzer sollten die Multi-Faktor-Authentifizierung (MFA) für alle Social-Media-Konten aktivieren, um einen zusätzlichen Schutz vor unbefugtem Zugriff zu bieten.

Firewalls, Viren- und Malwarescanner sollten immer auf dem aktuellsten Stand gehalten werden.

Unternehmen und Organisationen sollten ihre Mitarbeiterinnen und Mitarbeiter über die Gefahren von Phishing-Angriffen aufklären und darüber, wie man verdächtige Nachrichten und Links erkennt.

Diese böswillige Facebook-Kampagne zeigt, dass es ausserordentlich wichtig ist, die Legitimität von Links zu überprüfen, insbesondere dann, wenn persönliche Informationen oder Anmeldeinformationen abgefragt werden. Im April 2024 bewarb eine ähnliche Facebook-Malvertising-Kampagne eine bösartige Seite, die sich als das KI-Bildbearbeitungstool Midjourney ausgab. Dieser Angriff zielte auf 1,2 Millionen Nutzer ab.