Fake Madgicx Plus and SocialMetrics Extensions Are Hijacking Meta Business Accounts
Mis à jour :
Extensions Malveillantes Vendant des Comptes Meta
Des campagnes de malvertising et de diffusion de fausses extensions de navigateur visent à voler des données sensibles, notamment des informations d’identification et des cookies de session, pour détourner des comptes Meta Business.
Deux campagnes principales ont été identifiées :
Extensions “Meta Verified” Faussement Appliquées : Des publicités malveillantes promeuvent des extensions nommées “SocialMetrics Pro”, prétendant débloquer la certification “Meta Verified” pour les profils Facebook et Instagram. Une fois installées, ces extensions volent les cookies de session Facebook et l’adresse IP de la victime. Ces informations sont envoyées à un bot Telegram contrôlé par les attaquants, qui peuvent ensuite les utiliser pour interagir avec l’API Facebook Graph, potentiellement pour voler des détails budgétaires de comptes publicitaires. L’objectif final est la vente de comptes Meta Business et publicitaires sur les forums clandestins. Les caractéristiques de cette campagne, comme l’utilisation du vietnamien, suggèrent l’implication d’acteurs de menaces vietnamiens.
Fausses Extensions “Madgicx Plus” : D’autres extensions frauduleuses, comme “Madgicx Plus”, “Meta Ads SuperTool” et “Madgicx X Ads”, sont distribuées via de faux sites web se présentant comme des outils d’optimisation publicitaire basés sur l’IA pour Facebook et Instagram. Ces extensions, dont certaines sont encore disponibles sur le Chrome Web Store, offrent des fonctionnalités malveillantes. Elles peuvent détourner des sessions, voler des identifiants, et compromettre des comptes Meta Business. Une fois installées, elles obtiennent un accès complet aux sites visités, permettant l’injection de scripts, l’interception de trafic réseau, la surveillance de l’activité de navigation et la récolte de données sensibles. Elles demandent également aux utilisateurs de lier leurs comptes Facebook et Google, tout en collectant discrètement des informations d’identité. L’utilisation des identifiants Facebook volés permet d’interagir avec l’API Facebook Graph pour obtenir un accès plus large.
Points Clés :
- Utilisation de fausses extensions de navigateur pour voler des données sensibles.
- Vol de cookies de session et d’identifiants pour détourner des comptes Meta.
- Exploitation de l’API Facebook Graph pour collecter des informations supplémentaires.
- Vente de comptes compromis sur des forums clandestins.
- Campagnes potentiellement menées par des acteurs de menaces vietnamiens.
- Industrialisation des campagnes de malvertising, avec automatisation de la création de contenu.
Vulnérabilités et CVEs :
L’article ne mentionne pas de CVEs spécifiques pour ces campagnes, mais les vulnérabilités exploitées sont liées à :
- La confiance accordée aux extensions de navigateur.
- La diffusion d’extensions malveillantes via des publicités trompeuses et de faux sites web.
- La susceptibilité des utilisateurs à des offres ou des outils prétendant améliorer la performance ou la visibilité sur les plateformes Meta.
Recommandations :
- Se méfier des extensions de navigateur qui promettent des fonctionnalités non officielles ou trop belles pour être vraies, notamment celles liées à la certification ou à l’optimisation des plateformes sociales.
- Vérifier attentivement les autorisations demandées par les extensions avant de les installer.
- Installer des extensions uniquement à partir de sources officielles et fiables (par exemple, le Chrome Web Store, mais même là, il faut rester vigilant).
- Lire les avis des autres utilisateurs et vérifier la réputation de l’extension et de son développeur.
- Ne jamais télécharger ou installer d’extensions à partir de liens trouvés dans des publicités ou des sites web suspects.
- Maintenir à jour son logiciel antivirus et ses navigateurs.
- Utiliser l’authentification à deux facteurs pour renforcer la sécurité des comptes Meta.
- Surveiller les activités suspectes sur ses comptes Meta.