近日，有攻击者劫持了 Facebook 上的网页，诱骗用户下载一个合法的人工智能（AI）照片编辑器，但实际上他们真正下载的却是一个专门用以盗取用户的凭据信息窃取程序。

趋势科技的研究人员发现的这一恶意广告活动利用了人工智能的流行性，并结合了各种流行的威胁策略，包括网络钓鱼、社交工程和以恶意方式使用合法工具。最终的有效载荷是 Lumma 窃取器，它的目标是敏感信息，包括用户凭据、系统详细信息、浏览器数据和扩展。

研究人员指出，此次攻击的关键之处在于滥用付费的 Facebook 促销活动，攻击者利用这些促销活动引诱用户参与，并最终发送恶意软件。

趋势科技威胁研究员 Jaromir Horejsi 提到：一旦攻击者获得了页面控制权，他就能发布广告推广 AI 照片编辑器，并引导受害者下载伪装成照片编辑器的端点管理实用程序。

攻击者利用当前大家对人工智能技术和相关工具的关注，使用这些工具作为恶意活动的诱饵，其中包括网络钓鱼诈骗、深度伪造和自动攻击。

到目前为止，与该活动相关的恶意软件包在 Windows 上产生了约 16000 次下载，在 macOS 上产生了 1200 次下载。不过，macOS 版本重定向到的是苹果网站，而不是攻击者控制的网站，这表明攻击者只针对 Windows 用户发起攻击。

网络钓鱼导致页面被劫持

此次钓鱼活动中的攻击始于潜在受害者看到广告之前。因为攻击者首先会向目标社交媒体页面的所有者发送网络钓鱼信息，以获得页面控制权供自己恶意使用。发送者账户的个人资料基本都是空的，因为用户名基本是随机生成的。

信息中的钓鱼链接通常以直接链接或个性化链接页面的形式发送，如 linkup.top、bio.link、s.id 和 linkbio.co 等。有时，攻击者甚至滥用 Facebook 的开放重定向 URL，使这些链接看起来更合法。

如果页面操作员点击这些链接，就会出现一个要求他们向 Meta 开发人员的 "业务支持中心 "核实信息的页面。点击屏幕上的 "在此验证您的信息 "链接，就会进入一个虚假的账户保护页面，在随后的几个步骤中，该页面会要求用户提供登录和接管账户所需的信息，如电话号码、电子邮件地址、生日和密码等。

在目标用户提供这些信息后，攻击者会窃取其个人资料，并开始创建和发布人工智能照片编辑器的恶意广告，广告链接到一个使用合法工具（如 Evoto）名称的虚假域名。

Horejsi 写道：假冒的照片编辑器网页看起来与原始网页非常相似，这有助于欺骗受害者，让他们以为自己正在下载照片编辑器。

然而，上钩的用户实际下载的是免费的 ITarian 端点管理软件。攻击者利用一系列后端进程控制，最终控制受害者的机器下载最终的有效载荷--Lumma 窃取程序。

研究人员建议用户应定期更新并使用强大的密码

据趋势科技称，人们有很多方法可以避免成为滥用社交媒体页面的活动和威胁的受害者，这些活动和威胁不仅会损害用户的利益，而且还会通过被盗的凭据作为进入企业基础设施的初始入口而导致二次攻击。

研究人员建议社交媒体用户应在其所有账户上启用多因素身份验证，以增加一层额外的保护，防止未经授权的访问，并在所有账户上定期更新和使用强大、唯一的密码。

企业还应定期开展教育和提高认识活动，让员工了解在访问企业网络时社交媒体上潜伏的危险，以及如何识别与网络钓鱼攻击相关的可疑信息和链接。

最后，企业和个人用户都应监控其账户是否有任何异常行为，如意外登录尝试或账户信息变更，组织应采用某种检测和响应机制。

参考来源：Attackers Hijack Facebook Pages, Promote Malicious AI Photo Editor