Χάκερ στοχεύουν επιχειρηματικούς λογαριασμούς στο Facebook

Σύμφωνα με το The Hacker News , οι κυβερνοεπιθέσεις που στοχεύουν λογαριασμούς Meta Business και Facebook έχουν γίνει ευρέως διαδεδομένες τον τελευταίο χρόνο χάρη στο κακόβουλο λογισμικό Ducktail και NodeStealer, τα οποία χρησιμοποιούνται για την επίθεση σε επιχειρήσεις και άτομα που δραστηριοποιούνται στο Facebook. Μεταξύ των μεθόδων που χρησιμοποιούν οι κυβερνοεγκληματίες, η κοινωνική μηχανική παίζει σημαντικό ρόλο.

Τα θύματα προσεγγίζονται μέσω μιας ποικιλίας πλατφορμών, από το Facebook, το LinkedIn έως το WhatsApp και πύλες εργασίας για ελεύθερους επαγγελματίες. Ένας άλλος γνωστός μηχανισμός διανομής είναι η δηλητηρίαση από τις μηχανές αναζήτησης για να δελεάσουν τους χρήστες να κατεβάσουν ψεύτικες εκδόσεις των CapCut, Notepad++, ChatGPT, Google Bard και Meta Threads... Αυτές είναι εκδόσεις που δημιουργούνται από κυβερνοεγκληματίες για να εμφυτεύσουν κακόβουλο λογισμικό στους υπολογιστές των θυμάτων.

Είναι σύνηθες για τις ομάδες κυβερνοεγκληματιών να χρησιμοποιούν υπηρεσίες συντόμευσης URL και το Telegram για διοίκηση και έλεγχο, καθώς και νόμιμες υπηρεσίες cloud όπως Trello, Discord, Dropbox, iCloud, OneDrive και Mediafire για τη φιλοξενία κακόβουλου λογισμικού.

Οι δρώντες πίσω από το Ducktail παρασύρουν τα θύματα με έργα μάρκετινγκ και branding για να θέσουν σε κίνδυνο τους λογαριασμούς ατόμων και επιχειρήσεων που λειτουργούν στην επιχειρηματική πλατφόρμα της Meta. Οι πιθανοί στόχοι κατευθύνονται σε ψεύτικες αναρτήσεις στο Upwork και το Freelancer μέσω διαφημίσεων στο Facebook ή στο LinkedIn InMail, οι οποίες περιέχουν συνδέσμους προς κακόβουλα αρχεία που μεταμφιέζονται σε περιγραφές θέσεων εργασίας.

Ερευνητές στο Zscaler ThreatLabz λένε ότι το Ducktail κλέβει cookies του προγράμματος περιήγησης για να παραβιάσει επιχειρηματικούς λογαριασμούς στο Facebook. Τα λάφυρα αυτής της επιχείρησης (παραβιασμένοι λογαριασμοί κοινωνικών μέσων) πωλούνται στην παραοικονομία , όπου τιμολογούνται ανάλογα με τη χρησιμότητά τους, συνήθως από 15 έως 340 δολάρια.

Αρκετές αλυσίδες μολύνσεων που παρατηρήθηκαν μεταξύ Φεβρουαρίου και Μαρτίου 2023 αφορούσαν τη χρήση συντομεύσεων και αρχείων PowerShell για τη λήψη και την εκκίνηση κακόβουλου λογισμικού, καταδεικνύοντας μια συνεχή εξέλιξη στις τακτικές των εισβολέων.

Αυτές οι κακόβουλες δραστηριότητες ενημερώθηκαν επίσης για να συλλέγουν προσωπικά στοιχεία χρηστών από το X (πρώην Twitter), το TikTok Business και το Google Ads, καθώς και να αξιοποιούν κλεμμένα cookies του Facebook για τη δημιουργία δόλιων διαφημίσεων με αυτοματοποιημένο τρόπο και την αύξηση των δικαιωμάτων για την εκτέλεση άλλων κακόβουλων δραστηριοτήτων.

Η μέθοδος που χρησιμοποιείται για την κατάληψη του λογαριασμού του θύματος είναι η προσθήκη της διεύθυνσης email του χάκερ στον λογαριασμό και, στη συνέχεια, η αλλαγή του κωδικού πρόσβασης και της διεύθυνσης email του θύματος για να αποκλειστεί η πρόσβαση στην υπηρεσία.

Η εταιρεία ασφαλείας WithSecure δήλωσε ότι ένα νέο χαρακτηριστικό που παρατηρήθηκε σε δείγματα Ducktail από τον Ιούλιο του 2023 είναι η χρήση του RestartManager (RM) για την τερματισμό διεργασιών που κλειδώνουν τη βάση δεδομένων του προγράμματος περιήγησης. Αυτή η λειτουργία βρίσκεται συχνά σε ransomware, επειδή τα αρχεία που χρησιμοποιούνται από διεργασίες ή υπηρεσίες δεν μπορούν να κρυπτογραφηθούν.

Οι ερευνητές της Zscaler δήλωσαν ότι ανακάλυψαν μολύνσεις από παραβιασμένους λογαριασμούς LinkedIn που ανήκουν σε χρήστες που εργάζονται στον τομέα του ψηφιακού μάρκετινγκ, ορισμένοι με περισσότερες από 500 συνδέσεις και 1.000 ακόλουθους, γεγονός που βοήθησε στη διευκόλυνση των απάτων των κυβερνοεγκληματιών.

Το Ducktail πιστεύεται ότι είναι ένα από τα πολλά στελέχη κακόβουλου λογισμικού που χρησιμοποιούν οι Βιετναμέζοι εγκληματίες του κυβερνοχώρου για να πραγματοποιήσουν δόλια σχέδια. Υπάρχει ένας κλώνος του Ducktail που ονομάζεται Duckport, ο οποίος κλέβει πληροφορίες και παραβιάζει λογαριασμούς Meta Business από τα τέλη Μαρτίου 2023.

Η στρατηγική της εγκληματικής ομάδας στον κυβερνοχώρο που χρησιμοποιεί το Duckport είναι να παρασύρει τα θύματα σε ιστότοπους που σχετίζονται με την επωνυμία που μιμούνται και στη συνέχεια να τα ανακατευθύνει για να κατεβάσουν κακόβουλα αρχεία από υπηρεσίες φιλοξενίας αρχείων όπως το Dropbox. Το Duckport διαθέτει επίσης νέες δυνατότητες, επεκτείνοντας την ικανότητά του να κλέβει πληροφορίες και να παραβιάζει λογαριασμούς, να λαμβάνει στιγμιότυπα οθόνης ή να καταχράται τις διαδικτυακές υπηρεσίες λήψης σημειώσεων για να αντικαταστήσει το Telegram για την αποστολή εντολών στον υπολογιστή του θύματος.

Οι ερευνητές λένε ότι οι απειλές στο Βιετνάμ έχουν υψηλό βαθμό επικάλυψης σε δυνατότητες, υποδομές και θύματα. Αυτό δείχνει μια θετική σχέση μεταξύ εγκληματικών ομάδων, κοινών εργαλείων και τακτικών, τεχνικών... Πρόκειται σχεδόν για ένα οικοσύστημα παρόμοιο με το μοντέλο ransomware-as-a-service, αλλά επικεντρωμένο σε πλατφόρμες κοινωνικής δικτύωσης όπως το Facebook.