Des chercheurs ont découvert une opération de phishing à grande échelle qui utilisait Facebook et Messenger pour attirer des millions d'utilisateurs vers des pages de phishing, les incitant à saisir les informations d'identification de leur compte et à voir des publicités.

Les opérateurs de la campagne utilisaient ces comptes volés pour envoyer d'autres messages de phishing à leurs amis, générant ainsi d'importants revenus via des commissions publicitaires en ligne.

L’entreprise de cybersécurité PIXM a pu retrouver l'acteur de la menace et cartographier la campagne car l'une des pages de phishing identifiées contenait un lien vers une application de surveillance du trafic (whos.amung.us) accessible au public sans authentification.

Bien que l'on ignore comment la campagne a commencé, PIXM indique que les victimes sont arrivées sur les pages de phishing à partir d'une série de redirections provenant de Facebook Messenger.

Au fur et à mesure que des comptes Facebook étaient volés, les acteurs de la menace utilisaient des outils automatisés pour envoyer d'autres liens de phishing aux amis du compte compromis, créant ainsi une croissance massive des comptes volés.

"Le compte d'un utilisateur était compromis et, de manière probablement automatisée, l'acteur de la menace se connectait à ce compte et envoyait le lien aux amis de l'utilisateur via Facebook Messenger", explique PIXM dans son rapport.

Bien que Facebook dispose de mesures de protection pour empêcher la diffusion d'URL de phishing, les acteurs de la menace ont utilisé une astuce pour contourner ces protections.

Les messages de phishing utilisaient des services de génération d'URL légitimes tels que litch.me, famous.co, amaze.co et funnel-preview.com, qu'il serait difficile de bloquer car des applications légitimes les utilisent.

Après avoir découvert qu'ils pouvaient obtenir un accès non authentifié aux pages de statistiques de la campagne de phishing, les chercheurs ont constaté qu'en 2021, 2,7 millions d'utilisateurs avaient visité l'un des portails de phishing. Ce chiffre est passé à 8,5 millions en 2022, ce qui reflète la croissance massive de la campagne.

Après que la victime a saisi ses informations d'identification sur la page de destination du phishing, une nouvelle série de redirections commence, l'amenant vers des pages publicitaires, des formulaires d'enquête, etc.

Les acteurs de la menace reçoivent des revenus de référence de ces redirections, qui sont estimés à plusieurs millions de dollars à cette échelle d'opération.

PIXM a trouvé un extrait de code commun sur toutes les pages de destination, qui contenait une référence à un site Web qui a été saisi et qui fait partie d'une enquête contre un Colombien identifié comme Rafael Dorado.

Une recherche inversée du whois a révélé des liens vers une société de développement web légitime en Colombie et d'anciens sites proposant des "like bots" Facebook et des services de piratage.

PIXM a partagé les résultats de son enquête avec la police colombienne et Interpol, mais comme ils le notent, la campagne est toujours en cours, même si un grand nombre des URL identifiées ont été mises hors ligne.