Em novembro de 2021, Tord Lundström, diretor técnico da organização sem fins lucrativos de forense digital sueca Qurium Media, notou algo estranho. Um ataque massivo de negação de serviço distribuído (DDoS) tinha como alvo o Bulatlat, um meio de comunicação filipino alternativo hospedado pela organização sem fins lucrativos. E estava vindo de usuários do Facebook.
Lundström e sua equipe descobriram que o ataque era apenas o começo. Bulatlat tornou-se alvo de um sofisticado farm de trolls vietnamitas que capturou as credenciais de milhares de contas do Facebook e as transformou em bots maliciosos para direcionar as credenciais de ainda mais contas para aumentar seus números.
O volume desse ataque foi impressionante mesmo para Bulatlat, que há muito é alvo de censura e grandes ataques cibernéticos. A equipe da Qurium estava bloqueando até 60.000 endereços IP por dia de acessar o site da Bulatlat. “Nós não sabíamos de onde vinha, por que as pessoas estavam indo para essas partes específicas do site Bulatlat”, diz Lundström.
Quando eles rastrearam o ataque, as coisas ficaram mais estranho ainda. Lundström e sua equipe descobriram que os pedidos de páginas no site de Bulatlat vinham de links do Facebook disfarçados para parecer links para pornografia. Esses links fraudulentos capturaram as credenciais dos usuários do Facebook e redirecionaram o tráfego para o Bulatlat, executando essencialmente um ataque de phishing e um ataque DDoS ao mesmo tempo. A partir daí, as contas comprometidas foram automatizadas para enviar spam para suas redes com mais dos mesmos links pornográficos falsos, que por sua vez enviaram mais e mais usuários para o site de Bulatlat. A empresa Meta possui sistemas para detectar golpes de phishing e links problemáticos, o Qurium descobriu que os invasores estavam usando um “domínio de rejeição”. Isso significava que, se o sistema de detecção do Meta testasse o domínio, ele direcionaria para um site legítimo, mas se um usuário comum clicasse no link, ele seria redirecionado para o site de phishing.
Após meses de investigação, Qurium conseguiu identificar uma empresa vietnamita chamada Mac Quan Inc. que havia registrado alguns dos nomes de domínio para os sites de phishing. Qurium estima que o grupo vietnamita capturou as credenciais de mais de 500.000 usuários do Facebook de mais de 30 países usando cerca de 100 nomes de domínio diferentes. Acredita-se que mais de 1 milhão de contas tenham sido alvos da rede de bots.
Para contornar ainda mais os sistemas de detecção do Meta, os invasores usaram “proxies residenciais”, roteando o tráfego por meio de um intermediário baseado em o mesmo país da conta roubada do Facebook – normalmente um telefone celular local – para fazer parecer que o login estava vindo de um endereço IP local. “Qualquer pessoa de qualquer lugar do mundo pode acessar essas contas e usá-las para o que quiser”, diz Lundström.
Uma página do Facebook para “Mac Quan IT” afirma que seu proprietário é engenheiro da empresa de domínio Namecheap.com e inclui uma postagem de 30 de maio de 2021, onde anunciava curtidas e seguidores à venda: 10.000 ienes (US$ 70) por 350 curtidas e 20.000 ienes por 1.000 seguidores. A WIRED entrou em contato com o e-mail anexado à página do Facebook para comentar, mas não recebeu resposta. Qurium rastreou ainda mais o nome de domínio para um e-mail registrado para uma pessoa chamada Mien Trung Vinh.
