Les pirates informatiques ciblent les comptes professionnels sur Facebook

Selon The Hacker News , les cyberattaques ciblant les comptes Meta Business et Facebook sont devenues plus fréquentes l'année dernière grâce aux malwares Ducktail et NodeStealer, utilisés pour attaquer les entreprises et les particuliers actifs sur Facebook. Parmi les méthodes utilisées par les cybercriminels, l'ingénierie sociale joue un rôle majeur.

Les victimes sont contactées via diverses plateformes, de Facebook à LinkedIn, en passant par WhatsApp et les portails d'emploi freelance. Un autre mécanisme de diffusion connu est l'empoisonnement des moteurs de recherche, qui incite les utilisateurs à télécharger de fausses versions de CapCut, Notepad++, ChatGPT, Google Bard et Meta Threads, entre autres, des versions créées par des cybercriminels pour implanter des logiciels malveillants sur les ordinateurs des victimes.

Il est courant que les groupes de cybercriminels utilisent des services de raccourcissement d’URL et Telegram pour le commandement et le contrôle, ainsi que des services cloud légitimes comme Trello, Discord, Dropbox, iCloud, OneDrive et Mediafire pour héberger des logiciels malveillants.

Les auteurs de Ducktail attirent leurs victimes avec des projets marketing et de branding visant à compromettre les comptes des particuliers et des entreprises opérant sur la plateforme Meta. Les cibles potentielles sont redirigées vers de fausses publications sur Upwork et Freelancer via des publicités InMail Facebook ou LinkedIn contenant des liens vers des fichiers malveillants déguisés en offres d'emploi.

Les chercheurs de Zscaler ThreatLabz affirment que Ducktail vole les cookies des navigateurs pour pirater les comptes professionnels Facebook. Le butin de cette opération (comptes de réseaux sociaux piratés) est vendu au marché noir, où son prix varie généralement entre 15 et 340 dollars.

Plusieurs chaînes d'infection observées entre février et mars 2023 impliquaient l'utilisation de raccourcis et de fichiers PowerShell pour télécharger et lancer des logiciels malveillants, démontrant une évolution continue des tactiques des attaquants.

Ces activités malveillantes ont également été mises à jour pour collecter les informations personnelles des utilisateurs de X (anciennement Twitter), TikTok Business et Google Ads, ainsi que pour exploiter les cookies Facebook volés pour générer des publicités frauduleuses de manière automatisée et élever les privilèges pour effectuer d'autres activités malveillantes.

La méthode utilisée pour prendre le contrôle du compte de la victime consiste à ajouter l'adresse e-mail du pirate au compte, puis à modifier le mot de passe et l'adresse e-mail de la victime pour la bloquer hors du service.

L'entreprise de sécurité WithSecure a indiqué qu'une nouvelle fonctionnalité observée dans les échantillons de Ducktail depuis juillet 2023 est l'utilisation de RestartManager (RM) pour arrêter les processus qui verrouillent la base de données du navigateur. Cette fonctionnalité est fréquente dans les rançongiciels, car les fichiers utilisés par les processus ou les services ne peuvent pas être chiffrés.

Les chercheurs de Zscaler ont déclaré avoir découvert des infections provenant de comptes LinkedIn compromis appartenant à des utilisateurs travaillant dans le marketing numérique, certains avec plus de 500 connexions et 1 000 abonnés, ce qui a contribué à faciliter les escroqueries des cybercriminels.

Ducktail serait l'une des nombreuses souches de malwares exploitées par les cybercriminels vietnamiens pour mener des opérations frauduleuses. Un clone de Ducktail, Duckport, vole des informations et détourne des comptes Meta Business depuis fin mars 2023.

La stratégie du groupe cybercriminel utilisant Duckport consiste à attirer les victimes vers des sites web liés à la marque qu'ils usurpent, puis à les rediriger vers des sites de téléchargement de fichiers malveillants depuis des services d'hébergement comme Dropbox. Duckport propose également de nouvelles fonctionnalités, élargissant sa capacité à voler des informations et à pirater des comptes, à prendre des captures d'écran ou à utiliser des services de prise de notes en ligne pour remplacer Telegram et envoyer des commandes à l'ordinateur de la victime.

Les chercheurs affirment que les menaces au Vietnam présentent un degré élevé de chevauchement en termes de capacités, d'infrastructures et de victimes. Cela témoigne d'une relation positive entre les groupes criminels, les outils, les tactiques et les techniques partagés. Il s'agit d'un écosystème quasi similaire au modèle du ransomware-as-a-service, mais centré sur les plateformes de réseaux sociaux comme Facebook.