C’est à l’occasion de la conférence Virus Bulletin 2020 que l’équipe de sécurité de Facebook a présenté ce groupe de hackers chinois connu sous le nom de SilentFade. Les pirates ont usé d’un stratagème parfaitement huilé pour parvenir à leurs fins. Grâce à un rootkit Windows, des injections de navigateur, des scripts intelligents et une faille « zero-day » sur Facebook, ils ont pu acheter des publicités avec l’argent de leurs victimes.

SilentFade a piraté Facebook

Selon Facebook, SilentFade a été actif entre la fin de l’année 2018 et le mois de février 2019. C’est à ce moment précis que les équipes de sécurité de Facebook ont découvert les agissements des hackers et sont intervenus pour stopper leurs actions. L’objectif derrière la stratégie des hackers était de détourner les navigateurs des utilisateurs afin de voler leurs mots de passe pour accéder à leurs comptes Facebook. Une fois qu’ils y avaient accès, les hackers cherchaient les comptes dont le profil comportait un mode de paiement.

Les utilisateurs de Facebook qui avaient enregistré une carte bancaire pour acheter de la publicité sur Facebook se sont faits escroquer. SilentFade a acheté des publicités Facebook avec les fonds de leurs victimes. En seulement quelques mois, le gang chinois a tout de même réussi à acheter des publicités pour 4 millions de dollars. Évidemment les publicités publiées étaient elles aussi un piège. Derrière une image de célébrité, se trouvait des sites douteux vendant des produits tout aussi étranges. Des pilules d’amincissement par exemple.

Le géant des réseaux sociaux victime d’une faille « zero-day »

Facebook a donc mené l’enquête. L’équipe de sécurité du réseau social a réussi à remonter jusqu’à une société chinoise et deux développeurs, que la société a décidé de poursuivre en justice en décembre 2019. Selon Facebook, le gang SilentFade aurait commencé à opérer dès 2016. Les premiers coups du gang se sont faits en Chine. Selon Sanchit Karve et Jennifer Urgilez de Facebook : « les hackers ont associé leur malware à un logiciel qu’ils proposaient de télécharger en ligne ».

Une fois que les utilisateurs étaient infectés, le malware de SilentFade prenait le contrôle du navigateur de la victime. Parmi les navigateurs ciblés il y avait : Chrome, Firefox, Internet Explorer, Opera, Edge, Orbitum, Amigo, Touch, Kometa et le navigateur Yandex. Grâce aux cookies liés à Facebook, les hackers pouvaient remonter jusqu’au mot de passe du réseau social sans avoir à fournir d’informations d’identification.

C’est là que la faille « zero-day » entre en jeu : pour éviter que les utilisateurs remarquent quoi que ce soit, SilentFade désactivait automatiquement les notifications du site, les sons des notifications du chat, les notifications par SMS et les notifications par e-mail. Plus de son, plus d’image. Un mode opératoire qui nous rappelle celui de Stress Paint en 2018. Selon les équipes du réseau social :

« C’est la première fois que nous observons un malware capable de modifier les paramètres de notification. L’exploitation de cette vulnérabilité liée aux notifications est justement l’élément qui a alerté Facebook ».