Laut The Hacker News haben Cyberangriffe auf Meta Business- und Facebook-Konten im vergangenen Jahr dank der Schadsoftware Ducktail und NodeStealer stark zugenommen. Diese Schadsoftware wird eingesetzt, um Unternehmen und Privatpersonen auf Facebook anzugreifen. Social Engineering spielt dabei eine wichtige Rolle.
Die Opfer werden über verschiedene Plattformen kontaktiert, von Facebook und LinkedIn bis hin zu WhatsApp und Freelance-Jobportalen. Ein weiterer bekannter Verbreitungsmechanismus ist die Manipulation von Suchmaschinen, um Nutzer zum Herunterladen gefälschter Versionen von CapCut, Notepad++, ChatGPT, Google Bard und Meta Threads zu verleiten. Diese Versionen werden von Cyberkriminellen erstellt, um Schadsoftware auf den Rechnern der Opfer zu installieren.
Es ist üblich, dass Cyberkriminelle URL-Kürzungsdienste und Telegram für die Kommando- und Kontrollfunktionen nutzen und legitime Cloud-Dienste wie Trello, Discord, Dropbox, iCloud, OneDrive und Mediafire zum Hosten von Malware verwenden.
Die Drahtzieher von Ducktail locken Opfer mit Marketing- und Branding-Projekten, um die Konten von Privatpersonen und Unternehmen auf der Meta-Plattform zu kompromittieren. Potenzielle Opfer werden über Facebook-Anzeigen oder LinkedIn InMail auf gefälschte Beiträge bei Upwork und Freelancer geleitet, die Links zu Schadsoftware enthalten, die als Stellenbeschreibungen getarnt sind.
Forscher von Zscaler ThreatLabz berichten, dass Ducktail Browser-Cookies stiehlt, um Facebook-Unternehmenskonten zu kapern. Die Beute dieser Operation (gehackte Social-Media-Konten) wird im Untergrundhandel verkauft, wo sie je nach Nutzen zu Preisen zwischen 15 und 340 US-Dollar angeboten wird.
Mehrere zwischen Februar und März 2023 beobachtete Infektionsketten beinhalteten die Verwendung von Verknüpfungen und PowerShell-Dateien zum Herunterladen und Ausführen von Schadsoftware, was eine kontinuierliche Weiterentwicklung der Taktiken der Angreifer verdeutlicht.
Diese bösartigen Aktivitäten wurden außerdem aktualisiert, um persönliche Daten von Nutzern von X (ehemals Twitter), TikTok Business und Google Ads zu sammeln sowie gestohlene Facebook-Cookies zu nutzen, um automatisiert betrügerische Anzeigen zu generieren und Berechtigungen zu erweitern, um andere bösartige Aktivitäten durchzuführen.
Die Methode, mit der das Konto des Opfers übernommen wird, besteht darin, die E-Mail-Adresse des Hackers zum Konto hinzuzufügen und anschließend das Passwort und die E-Mail-Adresse des Opfers zu ändern, um es vom Dienst auszusperren.
Das Sicherheitsunternehmen WithSecure berichtete, dass Ducktail seit Juli 2023 ein neues Merkmal aufweist: die Verwendung des RestartManagers (RM) zum Beenden von Prozessen, die die Browserdatenbank sperren. Dieses Merkmal findet sich häufig bei Ransomware, da von Prozessen oder Diensten verwendete Dateien nicht verschlüsselt werden können.
Manche gefälschte Werbeanzeigen zielen darauf ab, Opfer dazu zu verleiten, Schadsoftware herunterzuladen und auf ihren Computern auszuführen.
Forscher von Zscaler gaben an, Infektionen auf kompromittierten LinkedIn-Konten entdeckt zu haben, die Nutzern aus dem Bereich Digitalmarketing gehörten, einige mit mehr als 500 Kontakten und 1.000 Followern, was den Betrügereien der Cyberkriminellen half.
Ducktail gilt als eine von vielen Malware-Varianten, die vietnamesische Cyberkriminelle für betrügerische Machenschaften einsetzen. Ein Ducktail-Klon namens Duckport stiehlt seit Ende März 2023 Informationen und kapert Meta Business-Konten.
Die Strategie der Cyberkriminellen, die Duckport nutzen, besteht darin, Opfer auf Webseiten zu locken, die mit der imitierten Marke in Verbindung stehen, und sie dann zum Herunterladen schädlicher Dateien von Filehosting-Diensten wie Dropbox umzuleiten. Duckport verfügt außerdem über neue Funktionen, die seine Möglichkeiten zum Informationsdiebstahl und zur Kontoübernahme erweitern, Screenshots erstellen oder Online-Notizdienste missbrauchen, um Telegram zu ersetzen und Befehle an den Rechner des Opfers zu senden.
Forscher stellen fest, dass die Bedrohungen in Vietnam hinsichtlich ihrer Fähigkeiten, Infrastruktur und Opfer eine hohe Überschneidung aufweisen. Dies deutet auf einen engen Zusammenhang zwischen kriminellen Gruppen, gemeinsam genutzten Werkzeugen und Taktiken hin. Es handelt sich dabei beinahe um ein Ökosystem, das dem Ransomware-as-a-Service-Modell ähnelt, jedoch auf Social-Media-Plattformen wie Facebook fokussiert ist.
Quellenlink
Kommentar (0)