قراصنة يستهدفون حسابات الشركات على الفيسبوك

[إعلان 1]

وبحسب موقع The Hacker News ، أصبحت الهجمات الإلكترونية التي تستهدف حسابات Meta Business وFacebook أكثر شيوعًا خلال العام الماضي بفضل البرامج الضارة Ducktail وNodeStealer، والتي تُستخدم لمهاجمة الشركات والأفراد النشطين على Facebook. من بين الأساليب التي يستخدمها مجرمو الإنترنت، تلعب الهندسة الاجتماعية دورًا مهمًا.

ويتم التواصل مع الضحايا من خلال مجموعة متنوعة من المنصات، من فيسبوك، ولينكدإن، إلى واتساب، ومواقع العمل المستقل. آلية التوزيع المعروفة الأخرى هي تسميم محرك البحث لإغراء المستخدمين بتنزيل إصدارات مزيفة من CapCut وNotepad++ وChatGPT وGoogle Bard وMeta Threads... وهي إصدارات أنشأها مجرمو الإنترنت بهدف تثبيت البرامج الضارة على كمبيوتر الضحية.

من الشائع أن تستخدم مجموعات المجرمين الإلكترونيين خدمات اختصار الروابط وTelegram للقيادة والتحكم، وخدمات السحابة المشروعة مثل Trello وDiscord وDropbox وiCloud وOneDrive وMediafire لاستضافة البرامج الضارة.

يستغل الأشخاص الذين يقفون وراء Ducktail الضحايا من خلال مخططات التسويق والعلامات التجارية لاختراق حسابات الأفراد والشركات التي تعمل على منصة الأعمال Meta. يتم توجيه الأهداف المحتملة إلى منشورات مزيفة على Upwork وFreelancer عبر إعلانات InMail على Facebook أو LinkedIn، والتي تحتوي على روابط لملفات ضارة مقنعة على أنها أوصاف وظيفية.

يقول الباحثون في Zscaler ThreatLabz أن Ducktail يسرق ملفات تعريف الارتباط من المتصفحات لاختطاف حسابات الأعمال على Facebook. ويتم تغذية غنائم هذه العملية (حسابات وسائل التواصل الاجتماعي المخترقة) في الاقتصاد غير الرسمي، حيث يتم تسعيرها وفقًا لفائدتها، والتي تتراوح عادةً من 15 دولارًا إلى 340 دولارًا.

وقد شملت العديد من سلاسل العدوى التي تم رصدها بين فبراير ومارس 2023 استخدام اختصارات وملفات PowerShell لتنزيل البرامج الضارة وتشغيلها، مما يدل على التطور المستمر في تكتيكات المهاجمين.

تم تحديث هذه الأنشطة الخبيثة أيضًا لجمع المعلومات الشخصية للمستخدمين من X (المعروف سابقًا باسم Twitter)، وTikTok Business، وGoogle Ads، بالإضافة إلى الاستفادة من ملفات تعريف الارتباط المسروقة من Facebook لإنشاء إعلانات احتيالية بطريقة آلية ورفع الامتيازات لأداء أنشطة خبيثة أخرى.

الطريقة المستخدمة للسيطرة على حساب الضحية هي إضافة عنوان البريد الإلكتروني للمخترق إلى الحساب، ثم تغيير كلمة المرور وعنوان البريد الإلكتروني للضحية لمنعه من الوصول إلى الخدمة.

قالت شركة الأمان WithSecure إن الميزة الجديدة التي لوحظت في عينات Ducktail منذ يوليو 2023 هي استخدام RestartManager (RM) لقتل العمليات التي تقفل قاعدة بيانات المتصفح. غالبًا ما توجد هذه الميزة في برامج الفدية، حيث لا يمكن تشفير الملفات التي تستخدمها العمليات أو الخدمات.

Tội phạm mạng Việt Nam đang nhắm vào các tài khoản doanh nghiệp trên Facebook - Ảnh 1. — تم تصميم بعض الإعلانات المزيفة لخداع الضحايا وحثهم على تنزيل البرامج الضارة وتنفيذها على أجهزة الكمبيوتر الخاصة بهم.

وقال باحثون في شركة Zscaler إنهم اكتشفوا إصابات من حسابات LinkedIn المخترقة التي تنتمي إلى مستخدمين يعملون في مجال التسويق الرقمي، وبعضها يضم أكثر من 500 اتصال و1000 متابع. وقد ساعد هذا في تسهيل عملية الاحتيال الإلكتروني.

يقال إن Ducktail هو أحد سلالات البرامج الضارة العديدة التي يستغلها مجرمو الإنترنت الفيتناميون لتنفيذ مخططات احتيالية. هناك استنساخ لـ Ducktail يسمى Duckport، والذي كان ينفذ سرقة المعلومات إلى جانب اختطاف حسابات Meta Business منذ أواخر مارس 2023.

تتمثل استراتيجية مجرمو الإنترنت الذين يستخدمون Duckport في جذب الضحايا إلى مواقع الويب المرتبطة بالعلامات التجارية التي ينتحلون شخصيتها، ثم إعادة توجيههم لتنزيل ملفات ضارة من خدمات استضافة الملفات مثل Dropbox. ويتمتع Duckport أيضًا بميزات جديدة، مما يوسع قدرته على سرقة المعلومات واختطاف الحسابات، والتقاط لقطات شاشة، أو إساءة استخدام خدمات تدوين الملاحظات عبر الإنترنت لتحل محل Telegram لإرسال الأوامر إلى أجهزة الضحايا.

ويقول الباحثون إن التهديدات في فيتنام تتسم بدرجة عالية من التداخل في القدرات والبنية الأساسية والضحايا. يُظهر هذا وجود علاقة إيجابية بين الجماعات الإجرامية والأدوات والتكتيكات والتقنيات المشتركة... وهذا يشبه إلى حد كبير نظامًا بيئيًا مشابهًا لنموذج برامج الفدية كخدمة ولكنه يركز على منصات التواصل الاجتماعي مثل فيسبوك.

[إعلان 2]
رابط المصدر