Facebook-ads verspreiden malware die wachtwoorden steelt, vermomd als Google Gemini

De aantrekking van de nieuwste AI-tools is universeel en cybercriminelen profiteren van dit enthousiasme. Het aanbieden van ChatGPT, Bing of Google Gemini (voormalig Google Bard) met verbeterde functionaliteiten is een terugkerend thema geworden in phishingcampagnes. Deze campagnes worden steeds geavanceerder en bevatten meerdere technieken, tools en gerenommeerde diensten om de meeste detectiemethoden te omzeilen. Hun doel blijft echter hetzelfde: mensen misleiden om kwaadaardige software te downloaden of hun accountwachtwoorden op te geven. Whalebone protective DNS biedt hier de oplossing.

Een overtuigende façade die een kwaadaardig installatieprogramma verbergt

Deze specifieke bedreiging neemt het uiterlijk aan van Google Gemini (voormalig Google Bard) en doet zich voor als een betaalde Facebook-advertentie. Daarnaast bevorderen bot-accounts in de commentaarsectie de verspreiding van het bericht. De webpagina is gemaakt met behulp van Google Sites, waardoor het een geloofwaardige uitstraling heeft en geassocieerd wordt met een legitiem Google-domein.

De downloadlink op de site leidt gebruikers echter naar een bestand dat wordt gehost op Trello, wat uiteindelijk een kwaadaardig installatieprogramma oplevert. Gesponsorde Facebook-advertenties verspreiden malware die wachtwoorden steelt, vermomd als Google Gemini.

Alleen de bestandsnaam verraadt het

De malware is uitzonderlijk ontwijkend en wordt momenteel niet gedetecteerd door antivirus programma’s. Wat het echter zou kunnen verraden voor de installatie, is de naamgeving van het bestand – terwijl de pagina Gemini adverteerde, installeert het installatieprogramma Meta Ads Manager.

Een bedrieglijke browserextensie om chaos te verspreiden

Na het voltooien van de installatie, die in wezen dient als een rookgordijn, implementeert de malware een malafide browserextensie vermomd als “Google Translate” en vraagt om een Facebook inlogpagina. Hierdoor kan het je wachtwoord, inlogsessie en alle gegevens die je daarna invoert in de browser stelen.

Om de gegevens te verzamelen, vertrouwt de malware op domeinen die worden gehost op Firebase. Deze domeinen worden effectief geblokkeerd door de beschermende DNS van Whalebone. Bijgevolg, zelfs als het antivirussysteem het installatieprogramma niet detecteert, blijven je wachtwoorden buiten het bereik van de aanvaller wanneer ze worden beschermd door Whalebone-gebaseerde beveiligingsproducten.

Zit je nog met vragen?

Contacteer ons gerust via [email protected] en wij helpen je graag verder!