Hackeři útočí na firemní účty na Facebooku

Podle serveru The Hacker News se kybernetické útoky zaměřené na účty Meta Business a Facebook v uplynulém roce rozšířily díky malwaru Ducktail a NodeStealer, které se používají k útokům na firmy a jednotlivce aktivní na Facebooku. Mezi metodami používanými kyberzločinci hraje důležitou roli sociální inženýrství.

Oběti jsou oslovovány prostřednictvím různých platforem, od Facebooku, LinkedInu po WhatsApp a portály pro volné noze. Dalším známým distribučním mechanismem je otrava vyhledávačů, která naláká uživatele ke stažení falešných verzí programů CapCut, Notepad++, ChatGPT, Google Bard a Meta Threads... Jedná se o verze vytvořené kyberzločinci za účelem implantace malwaru do počítačů obětí.

Pro kyberzločinecké skupiny je běžné, že k ovládání a řízení používají služby pro zkracování URL adres a Telegram a k hostování malwaru legitimní cloudové služby, jako jsou Trello, Discord, Dropbox, iCloud, OneDrive a Mediafire.

Aktéři stojící za kybernetickou ...

Výzkumníci ze společnosti Zscaler ThreatLabz tvrdí, že Ducktail krade soubory cookie prohlížeče, aby mohl ukrást firemní účty na Facebooku. Zisk z této operace (napadené účty na sociálních sítích) se prodává podzemní ekonomice , kde se jeho cena určuje podle jeho užitečnosti, obvykle v rozmezí od 15 do 340 dolarů.

Několik infekčních řetězců pozorovaných mezi únorem a březnem 2023 zahrnovalo použití zkratek a souborů PowerShellu ke stahování a spouštění malwaru, což ukazuje na neustálý vývoj taktik útočníků.

Tyto škodlivé aktivity byly také aktualizovány tak, aby shromažďovaly osobní údaje uživatelů ze služeb X (dříve Twitter), TikTok Business a Google Ads a také využívaly ukradené soubory cookie Facebooku k automatickému generování podvodných reklam a zvyšování oprávnění k provádění dalších škodlivých aktivit.

Metoda použitá k převzetí účtu oběti spočívá v přidání e-mailové adresy hackera k účtu a následné změně hesla a e-mailové adresy oběti, aby se zablokoval přístup ke službě.

Bezpečnostní firma WithSecure uvedla, že novou funkcí pozorovanou ve vzorcích Ducktail od července 2023 je použití RestartManageru (RM) k ukončení procesů, které zamykají databázi prohlížeče. Tato funkce se často vyskytuje u ransomwaru, protože soubory používané procesy nebo službami nelze šifrovat.

Výzkumníci ze společnosti Zscaler uvedli, že objevili infekce z napadených účtů LinkedIn patřících uživatelům pracujícím v digitálním marketingu, z nichž někteří měli více než 500 kontaktů a 1 000 sledujících, což usnadnilo podvody kyberzločinců.

Ducktail je považován za jeden z mnoha kmenů malwaru, které vietnamští kyberzločinci používají k provádění podvodných schémat. Existuje klon Ducktailu s názvem Duckport, který od konce března 2023 krade informace a unáší účty Meta Business.

Strategie kyberzločinecké skupiny využívající Duckport spočívá v nalákání obětí na webové stránky související se značkou, za kterou se vydávají, a následném přesměrování na stahování škodlivých souborů ze služeb hostování souborů, jako je Dropbox. Duckport má také nové funkce, které rozšiřují jeho schopnost krást informace a ukrádat účty, pořizovat snímky obrazovky nebo zneužívat online služby pro psaní poznámek k nahrazení Telegramu k odesílání příkazů do počítače oběti.

Výzkumníci tvrdí, že hrozby ve Vietnamu se do značné míry překrývají, pokud jde o schopnosti, infrastrukturu a oběti. To ukazuje na pozitivní vztah mezi zločineckými skupinami, sdílenými nástroji a taktikami, technikami... Jedná se téměř o ekosystém podobný modelu ransomware jako služba, ale zaměřený na platformy sociálních médií, jako je Facebook.