这款名为SilentFade的恶意软件被称为SilentFade(意思是“利用漏洞悄悄运行Facebook广告”)，它破坏了Facebook的账户，并利用它们来推广恶意广告、窃取浏览器cookie等等。这家社交媒体巨头说，中国的恶意软件运动始于2016年，但它是在2018年12月首次被发现的，原因是facebook的多个端点出现了可疑流量激增。经过广泛的调查，Facebook关闭了这场运动，对网络罪犯采取法律行动在2019年12月的袭击背后。

Facebook的Sanchit Karve和Jennifer Urjiez说：“我们的调查发现了一些有趣的技术，这些技术被用来破坏人们的广告欺诈目标。”在星期四的分析中本周在2020年病毒公报会议上揭晓。“攻击者主要进行恶意广告活动，通常以广告药丸和带有虚假名人代言的垃圾邮件的形式进行。”

Facebook说SilentFade未通过使用Facebook或其任何产品下载或安装。相反，它通常与潜在的不想要的程序(幼犬)捆绑在一起。PUP是用户可能认为不需要的软件程序。；它们可能使用可能危及隐私或削弱用户安全性的实现。在这种情况下，研究人员认为，恶意软件是通过盗版的流行软件(如CorelD劳Graphics图形设计软件矢量插图和页面布局，如下图所示)传播的。

一旦安装，SilentFade就从各种浏览器凭证商店(包括InternetExplorer、Chromium和Firefox)窃取了Facebook凭据和cookie。

“Cookies比密码更有价值，因为它们包含会话令牌，这是身份验证后的令牌，”研究人员说。“使用已泄漏的凭据，可能会遇到受双因素身份验证保护的帐户，SilentFade无法绕过这种情况。”

研究人员说，恶意软件本身由三到四个组件组成，主要的下载机组件包含在PUP包中。该下载器组件要么是独立的恶意软件组件，要么是Windows服务(安装为“AdService”或“HNService”)。它负责重新引导的持久性，并在Chrome的应用程序目录中删除32位和64位版本的动态库链接(DLL)，该目录通常被命名为winhttp.dll，并发起DLL劫持攻击。

研究人员说：“dll代理程序都向真正的winhttp.dll发出请求，但通过Chrome进程向facebook.com发出请求，通过模拟无害的网络请求来避免基于动态行为的反恶意软件检测。”

窃取凭据后，恶意软件使用Facebook GraphAPI检索关于Facebook帐户的元数据(例如支付信息和以前用于Facebook广告的总金额)，这是一个合法的Facebook功能，允许用户在Facebook社交图中读写数据。然后将这些数据发送回恶意软件的C2服务器(通过自定义HTTP报头作为加密的JSON BLOB)。

SilentFade有不同的持久性和检测规避策略，包括检测虚拟机的代码(检查所有可用显示驱动程序的描述字段与“虚拟”或“VM”)，并在检测到时停止执行。它还禁用了来自受损账户的Facebook通知警报，这可能会对可疑活动的受害者发出警报。

并且，在一种独特的反检测策略中，C2服务器存储数据并记录传入请求的IP地址，以便进行地理定位。研究人员说：“这是至关重要的，因为攻击者故意使用来自同一城市或附近城市的被盗凭证，让被窃取的凭证出现在被感染的机器上，就像最初的账户所有者在他们的城市内旅行过一样。

虽然用户的Facebook凭证很有价值，但拥有信用卡链接账户(例如商业账户)的用户也让网络罪犯有能力使用这些支付卡在Facebook上宣传恶意广告。

然而，“应该注意的是，支付信息的细节(如银行账户和信用卡号码)从来没有暴露给攻击者，因为Facebook不会通过桌面网站或图形API来显示这些信息，”研究人员说。

作为对SilentFade的调查的一部分，Facebook还发现了中国的其他恶意软件活动，包括名为StressPant、FacebookRobot和Sranos的恶意软件活动。Facebook警告称，其中一些恶意软件攻击直到今年6月仍在活跃。

在过去的一年里，该公司一直面临着安全和隐私问题。上周四提起诉讼在美国，有两家公司利用抓取技术从事国际数据收集业务，包括从Facebook、Instagram、Twitter、YouTube、LinkedIn和亚马逊(Amazon)上收集数据，以销售“营销情报”。涉及的数据包括姓名、用户ID、性别、出生日期、关系状况、位置信息等。

在这一过程中，Facebook警告称，当涉及到对其平台发起攻击时，它预计网络罪犯将继续加大赌注。

Facebook说：“我们预计会有更多针对平台的恶意软件出现在为广大用户服务的平台上，正如针对facebook的不断发展的生态系统所显示的那样。”“只有通过用户教育和整个安全行业的强有力合作，我们才能衡量恶意活动的规模，并有效应对这些活动。”