Hacker haben es auf Geschäftskonten bei Facebook abgesehen

Laut The Hacker News sind Cyberangriffe auf Meta Business- und Facebook-Konten im vergangenen Jahr dank der Schadsoftware Ducktail und NodeStealer häufiger geworden. Diese Schadsoftware wird eingesetzt, um Unternehmen und Einzelpersonen anzugreifen, die auf Facebook aktiv sind. Social Engineering spielt dabei eine wichtige Rolle.

Die Kontaktaufnahme mit Opfern erfolgt über verschiedene Plattformen, von Facebook, LinkedIn und WhatsApp bis hin zu Jobportalen für Freiberufler. Ein weiterer bekannter Verbreitungsmechanismus ist das sogenannte „Search Engine Poisoning“, um Nutzer zum Download gefälschter Versionen von unter anderem CapCut, Notepad++, ChatGPT, Google Bard und Meta Threads zu verleiten. Dabei handelt es sich um von Cyberkriminellen erstellte Versionen, die Schadsoftware auf den Rechnern der Opfer einschleusen.

Es kommt häufig vor, dass cyberkriminelle Gruppen URL-Verkürzungsdienste und Telegram für Befehls- und Kontrollzwecke sowie legitime Cloud-Dienste wie Trello, Discord, Dropbox, iCloud, OneDrive und Mediafire zum Hosten von Malware verwenden.

Die Akteure hinter Ducktail locken Opfer mit Marketing- und Branding-Projekten, um die Konten von Einzelpersonen und Unternehmen auf der Business-Plattform von Meta zu kompromittieren. Potenzielle Opfer werden über Facebook- oder LinkedIn-InMail-Anzeigen auf gefälschte Beiträge auf Upwork und Freelancer umgeleitet, die Links zu schädlichen Dateien enthalten, die als Stellenbeschreibungen getarnt sind.

Forscher des Zscaler ThreatLabz berichten, dass Ducktail Cookies aus Browsern stiehlt, um Facebook-Geschäftskonten zu kapern. Die Beute dieser Operation (gehackte Social-Media-Konten) wird in der Schattenwirtschaft verkauft, wo sie je nach Nutzen zu Preisen zwischen 15 und 340 US-Dollar angeboten werden.

In mehreren zwischen Februar und März 2023 beobachteten Infektionsketten wurden Verknüpfungen und PowerShell-Dateien zum Herunterladen und Starten von Malware verwendet, was auf eine kontinuierliche Weiterentwicklung der Taktiken der Angreifer hindeutet.

Diese böswilligen Aktivitäten wurden außerdem aktualisiert, um personenbezogene Daten von Benutzern von X (früher Twitter), TikTok Business und Google Ads zu sammeln, gestohlene Facebook-Cookies zu nutzen, um automatisch betrügerische Anzeigen zu generieren und Berechtigungen für andere böswillige Aktivitäten zu erweitern.

Die Methode, das Konto des Opfers zu übernehmen, besteht darin, die E-Mail-Adresse des Hackers zum Konto hinzuzufügen und dann das Passwort und die E-Mail-Adresse des Opfers zu ändern, um es vom Dienst auszuschließen.

Das Sicherheitsunternehmen WithSecure gab an, dass seit Juli 2023 in Ducktail-Samples eine neue Funktion beobachtet wurde: die Verwendung von RestartManager (RM), um Prozesse zu beenden, die die Browserdatenbank sperren. Diese Funktion ist häufig in Ransomware zu finden, da von Prozessen oder Diensten verwendete Dateien nicht verschlüsselt werden können.

Forscher bei Zscaler gaben an, dass sie Infektionen von kompromittierten LinkedIn-Konten von Benutzern entdeckt hätten, die im digitalen Marketing tätig seien. Einige von ihnen hätten mehr als 500 Kontakte und 1.000 Follower, was die Betrügereien der Cyberkriminellen erleichtert habe.

Ducktail gilt als eine von vielen Malware-Varianten, die vietnamesische Cyberkriminelle für betrügerische Machenschaften nutzen. Ein Ducktail-Klon namens Duckport stiehlt seit Ende März 2023 Informationen und kapert Meta Business-Konten.

Die Strategie der Cyberkriminellen, die Duckport nutzen, besteht darin, Opfer auf Webseiten der Marke zu locken, für die sie sich ausgeben, und sie dann zum Download schädlicher Dateien von Filehosting-Diensten wie Dropbox umzuleiten. Duckport verfügt außerdem über neue Funktionen, die es ermöglichen, Informationen zu stehlen, Konten zu kapern, Screenshots zu erstellen oder Online-Notizdienste zu missbrauchen, um Telegram zu ersetzen und Befehle an den Rechner des Opfers zu senden.

Forscher sagen, dass es in Vietnam viele Überschneidungen hinsichtlich Fähigkeiten, Infrastruktur und Opfern gibt. Dies deutet auf eine positive Beziehung zwischen kriminellen Gruppen, gemeinsamen Tools, Taktiken, Techniken usw. hin. Es handelt sich quasi um ein Ökosystem, das dem Ransomware-as-a-Service-Modell ähnelt, sich jedoch auf Social-Media-Plattformen wie Facebook konzentriert.