هکرها حساب‌های کاربری تجاری در فیس‌بوک را هدف قرار می‌دهند

به گزارش The Hacker News ، حملات سایبری که حساب‌های کاربری Meta Business و فیس‌بوک را هدف قرار می‌دهند، طی سال گذشته به لطف بدافزارهای Ducktail و NodeStealer که برای حمله به کسب‌وکارها و افراد فعال در فیس‌بوک استفاده می‌شوند، گسترش یافته‌اند. در میان روش‌های مورد استفاده مجرمان سایبری، مهندسی اجتماعی نقش مهمی ایفا می‌کند.

قربانیان از طریق پلتفرم‌های مختلفی از فیس‌بوک، لینکدین گرفته تا واتس‌اپ و پورتال‌های کاریابی فریلنسری، مورد هدف قرار می‌گیرند. یکی دیگر از مکانیسم‌های توزیع شناخته‌شده، آلوده‌سازی موتور جستجو برای فریب کاربران جهت دانلود نسخه‌های جعلی CapCut، Notepad++، ChatGPT، Google Bard و Meta Threads است... این‌ها نسخه‌هایی هستند که توسط مجرمان سایبری برای نصب بدافزار در دستگاه‌های قربانیان ایجاد شده‌اند.

برای گروه‌های مجرمان سایبری رایج است که از سرویس‌های کوتاه‌کننده‌ی URL و تلگرام برای فرماندهی و کنترل، و از سرویس‌های ابری قانونی مانند Trello، Discord، Dropbox، iCloud، OneDrive و Mediafire برای میزبانی بدافزار استفاده کنند.

عوامل پشت پرده Ducktail قربانیان را با پروژه‌های بازاریابی و برندسازی فریب می‌دهند تا حساب‌های افراد و کسب‌وکارهایی را که در پلتفرم تجاری Meta فعالیت می‌کنند، به خطر بیندازند. اهداف بالقوه از طریق تبلیغات فیس‌بوک یا LinkedIn InMail به پست‌های جعلی در Upwork و Freelancer هدایت می‌شوند که حاوی پیوندهایی به فایل‌های مخرب هستند که به عنوان شرح شغل پنهان شده‌اند.

محققان Zscaler ThreatLabz می‌گویند Ducktail کوکی‌های مرورگر را برای ربودن حساب‌های کاربری تجاری فیس‌بوک می‌دزدد. غنایم این عملیات (حساب‌های کاربری هک‌شده رسانه‌های اجتماعی) به اقتصاد زیرزمینی فروخته می‌شود، جایی که قیمت آنها بر اساس سودمندی‌شان، معمولاً از ۱۵ تا ۳۴۰ دلار، متغیر است.

چندین زنجیره آلودگی مشاهده شده بین فوریه و مارس 2023 شامل استفاده از میانبرها و فایل‌های PowerShell برای دانلود و اجرای بدافزار بود که نشان‌دهنده تکامل مداوم در تاکتیک‌های مهاجمان است.

این فعالیت‌های مخرب همچنین به‌روزرسانی شده‌اند تا اطلاعات شخصی کاربران را از X (که قبلاً توییتر نام داشت)، TikTok Business و Google Ads جمع‌آوری کنند، و همچنین از کوکی‌های دزدیده شده فیس‌بوک برای تولید تبلیغات جعلی به صورت خودکار استفاده کنند و امتیازات خود را برای انجام سایر فعالیت‌های مخرب افزایش دهند.

روشی که برای تصاحب حساب قربانی استفاده می‌شود، اضافه کردن آدرس ایمیل هکر به حساب کاربری و سپس تغییر رمز عبور و آدرس ایمیل قربانی برای قفل کردن دسترسی او به سرویس است.

شرکت امنیتی WithSecure اعلام کرد ویژگی جدیدی که از ژوئیه ۲۰۲۳ در نمونه‌های Ducktail مشاهده شده است، استفاده از RestartManager (RM) برای از بین بردن فرآیندهایی است که پایگاه داده مرورگر را قفل می‌کنند. این ویژگی اغلب در باج‌افزارها یافت می‌شود، زیرا فایل‌های مورد استفاده توسط فرآیندها یا سرویس‌ها قابل رمزگذاری نیستند.

محققان Zscaler گفتند که آلودگی‌هایی را از حساب‌های کاربری آسیب‌دیده‌ی لینکدین متعلق به کاربرانی که در حوزه‌ی بازاریابی دیجیتال فعالیت می‌کنند، کشف کرده‌اند که برخی از آن‌ها بیش از ۵۰۰ ارتباط و ۱۰۰۰ دنبال‌کننده دارند و به تسهیل کلاهبرداری‌های مجرمان سایبری کمک کرده‌اند.

اعتقاد بر این است که Ducktail یکی از انواع بدافزارهایی است که مجرمان سایبری ویتنامی برای انجام طرح‌های کلاهبرداری از آن استفاده می‌کنند. یک کلون Ducktail به نام Duckport وجود دارد که از اواخر مارس 2023 در حال سرقت اطلاعات و ربودن حساب‌های Meta Business است.

استراتژی گروه مجرمان سایبری که از Duckport استفاده می‌کنند، فریب دادن قربانیان به وب‌سایت‌های مرتبط با برندی است که خود را به جای آن جا می‌زنند، سپس آنها را به دانلود فایل‌های مخرب از سرویس‌های میزبانی فایل مانند Dropbox هدایت می‌کنند. Duckport همچنین دارای ویژگی‌های جدیدی است که توانایی آن را برای سرقت اطلاعات و ربودن حساب‌ها، گرفتن اسکرین‌شات یا سوءاستفاده از سرویس‌های یادداشت‌برداری آنلاین برای جایگزینی تلگرام جهت ارسال دستورات به دستگاه قربانی، گسترش می‌دهد.

محققان می‌گویند که تهدیدات در ویتنام از نظر قابلیت‌ها، زیرساخت‌ها و قربانیان همپوشانی بالایی دارند. این نشان دهنده رابطه مثبت بین گروه‌های جنایتکار، ابزارهای مشترک و تاکتیک‌ها، تکنیک‌ها است... این تقریباً یک اکوسیستم مشابه مدل باج‌افزار به عنوان سرویس است اما بر پلتفرم‌های رسانه‌های اجتماعی مانند فیس‌بوک متمرکز است.