وفقًا لموقع The Hacker News ، انتشرت الهجمات الإلكترونية التي تستهدف حسابات Meta Business وفيسبوك على نطاق واسع خلال العام الماضي بفضل برمجيتي Ducktail وNodeStealer الخبيثتين، واللتين تُستخدمان لمهاجمة الشركات والأفراد النشطين على فيسبوك. ومن بين الأساليب التي يستخدمها مجرمو الإنترنت، تلعب الهندسة الاجتماعية دورًا مهمًا.
يتم التواصل مع الضحايا عبر منصات متنوعة، من فيسبوك ولينكدإن إلى واتساب ومواقع التوظيف المستقل. ومن آليات الانتشار المعروفة الأخرى، التسميم الخبيث لمحركات البحث، لإغراء المستخدمين بتنزيل نسخ مزيفة من CapCut وNotepad++ وChatGPT وGoogle Bard وMeta Threads... وهي نسخ يُنشئها مجرمو الإنترنت لزرع برمجيات خبيثة في أجهزة الضحايا.
من الشائع أن تستخدم مجموعات المجرمين الإلكترونيين خدمات اختصار الروابط وTelegram للقيادة والتحكم، والخدمات السحابية المشروعة مثل Trello وDiscord وDropbox وiCloud وOneDrive وMediafire لاستضافة البرامج الضارة.
يستغلّ مُنظّمو "دك تيل" الضحايا بمشاريع تسويقية وترويجية لاختراق حسابات الأفراد والشركات العاملة على منصة "ميتا" للأعمال. ويتم توجيه الأهداف المُحتملة إلى منشورات مزيفة على منصتي "أب وورك" و"فريلانسر" عبر إعلانات فيسبوك أو رسائل "إن مايل" من "لينكدإن"، والتي تحتوي على روابط لملفات خبيثة مُموّهة على أنها أوصاف وظيفية.
يقول باحثون في Zscaler ThreatLabz إن Ducktail يسرق ملفات تعريف الارتباط الخاصة بالمتصفح لاختراق حسابات فيسبوك التجارية. تُباع غنائم هذه العملية (حسابات التواصل الاجتماعي المخترقة) إلى الأسواق غير الرسمية، حيث تُحدد أسعارها بناءً على فائدتها، والتي تتراوح عادةً بين 15 و340 دولارًا أمريكيًا.
وشملت العديد من سلاسل العدوى التي تم رصدها بين فبراير ومارس 2023 استخدام اختصارات وملفات PowerShell لتنزيل البرامج الضارة وتشغيلها، مما يدل على التطور المستمر في تكتيكات المهاجمين.
تم تحديث هذه الأنشطة الخبيثة أيضًا لجمع المعلومات الشخصية للمستخدمين من X (المعروف سابقًا باسم Twitter)، وTikTok Business، وGoogle Ads، بالإضافة إلى الاستفادة من ملفات تعريف الارتباط المسروقة من Facebook لإنشاء إعلانات احتيالية بطريقة آلية ورفع الامتيازات لأداء أنشطة خبيثة أخرى.
الطريقة المستخدمة للسيطرة على حساب الضحية هي إضافة عنوان البريد الإلكتروني للمخترق إلى الحساب، ثم تغيير كلمة المرور وعنوان البريد الإلكتروني للضحية لمنعه من الوصول إلى الخدمة.
ذكرت شركة الأمن WithSecure أن ميزة جديدة لُوحظت في عينات Ducktail منذ يوليو 2023 هي استخدام RestartManager (RM) لإيقاف العمليات التي تقفل قاعدة بيانات المتصفح. تُستخدم هذه الميزة غالبًا في برامج الفدية، نظرًا لاستحالة تشفير الملفات التي تستخدمها العمليات أو الخدمات.
تهدف بعض الإعلانات المزيفة إلى خداع الضحايا لتنزيل البرامج الضارة وتنفيذها على أجهزة الكمبيوتر الخاصة بهم.
وقال باحثون في شركة Zscaler إنهم اكتشفوا إصابات من حسابات LinkedIn المخترقة التي تنتمي إلى مستخدمين يعملون في مجال التسويق الرقمي، وبعضها يضم أكثر من 500 اتصال و1000 متابع، مما ساعد في تسهيل عمليات الاحتيال التي يقوم بها مجرمي الإنترنت.
يُعتقد أن دكتيل (Ducktail) هو أحد أنواع البرمجيات الخبيثة العديدة التي يستخدمها مجرمو الإنترنت الفيتناميون لتنفيذ مخططاتهم الاحتيالية. هناك نسخة طبق الأصل من دكتيل تُسمى دكبورت (Duckport)، والتي تسرق المعلومات وتخترق حسابات ميتا بيزنس منذ أواخر مارس 2023.
تعتمد استراتيجية مجموعة مجرمي الإنترنت التي تستخدم Duckport على استدراج الضحايا إلى مواقع إلكترونية مرتبطة بالعلامة التجارية التي ينتحلونها، ثم إعادة توجيههم لتنزيل ملفات خبيثة من خدمات استضافة الملفات مثل Dropbox. كما يتميز Duckport بميزات جديدة، تُوسّع قدرته على سرقة المعلومات واختراق الحسابات، والتقاط لقطات شاشة، أو إساءة استخدام خدمات تدوين الملاحظات عبر الإنترنت لاستبدال Telegram بإرسال أوامر إلى جهاز الضحية.
يقول الباحثون إن التهديدات في فيتنام تتداخل بشكل كبير في القدرات والبنية التحتية والضحايا. يُظهر هذا علاقة إيجابية بين الجماعات الإجرامية والأدوات والتكتيكات والأساليب المشتركة... يُشبه هذا النظام البيئي نموذج برامج الفدية كخدمة، ولكنه يركز على منصات التواصل الاجتماعي مثل فيسبوك.
[إعلان 2]
رابط المصدر
تعليق (0)