האקרים מכוונים נגד חשבונות עסקיים בפייסבוק

לפי The Hacker News , מתקפות סייבר המכוונות לחשבונות Meta Business ופייסבוק הפכו נפוצות בשנה האחרונה הודות לתוכנות הזדוניות Ducktail ו-NodeStealer, המשמשות לתקיפת עסקים ואנשים פרטיים הפעילים בפייסבוק. בין השיטות בהן משתמשים פושעי סייבר, הנדסה חברתית ממלאת תפקיד חשוב.

קורבנות פונים דרך מגוון פלטפורמות, החל מפייסבוק, לינקדאין ועד וואטסאפ ופורטלים של דרושים כפרילנסרים. מנגנון הפצה ידוע נוסף הוא הרעלת מנועי חיפוש שמטרתו לפתות משתמשים להוריד גרסאות מזויפות של CapCut, Notepad++, ChatGPT, Google Bard ו-Meta Threads... אלו הן גרסאות שנוצרו על ידי פושעי סייבר כדי להשתיל תוכנות זדוניות במחשבים של הקורבנות.

מקובל שקבוצות פושעי סייבר משתמשות בשירותי קיצור כתובות URL ובטלגרם לפיקוד ובקרה, ובשירותי ענן לגיטימיים כמו Trello, Discord, Dropbox, iCloud, OneDrive ו-Mediafire לאירוח תוכנות זדוניות.

הגורמים העומדים מאחורי Ducktail מפתים קורבנות באמצעות פרויקטים שיווקיים ומיתוגיים כדי לפגוע בחשבונות של אנשים פרטיים ועסקים הפועלים בפלטפורמת העסקים של Meta. מטרות פוטנציאליות מופנות לפוסטים מזויפים ב-Upwork וב-Freelancer באמצעות מודעות פייסבוק או InMail של לינקדאין, המכילים קישורים לקבצים זדוניים במסווה של תיאורי תפקיד.

חוקרים ב-Zscaler ThreatLabz אומרים ש-Ducktail גונבת עוגיות דפדפן כדי לחטוף חשבונות עסקיים בפייסבוק. השלל של פעולה זו (חשבונות מדיה חברתית פרוצים) נמכר לכלכלה המחתרתית, שם הם מתומחרים בהתאם לתועלת שלהם, בדרך כלל בטווח של 15 עד 340 דולר.

מספר שרשראות הדבקה שנצפו בין פברואר למרץ 2023 כללו שימוש בקיצורי דרך ובקבצי PowerShell כדי להוריד ולהפעיל תוכנות זדוניות, מה שמדגים התפתחות מתמשכת בטקטיקות של התוקפים.

פעילויות זדוניות אלו עודכנו גם כדי לאסוף מידע אישי של משתמשים מ-X (לשעבר טוויטר), TikTok Business ו-Google Ads, וכן למנף עוגיות גנובות של פייסבוק כדי ליצור מודעות הונאה באופן אוטומטי ולהעלות הרשאות לביצוע פעילויות זדוניות אחרות.

השיטה בה נעשה שימוש להשתלטות על חשבון הקורבן היא להוסיף את כתובת הדוא"ל של ההאקר לחשבון, ולאחר מכן לשנות את הסיסמה וכתובת הדוא"ל של הקורבן כדי לחסום אותו מהשירות.

חברת האבטחה WithSecure מסרה כי תכונה חדשה שנצפתה בדגימות של Ducktail מאז יולי 2023 היא השימוש ב-RestartManager (RM) כדי להרוג תהליכים שנועלים את מסד הנתונים של הדפדפן. תכונה זו נמצאת לעתים קרובות בתוכנות כופר, מכיוון שלא ניתן להצפין קבצים המשמשים תהליכים או שירותים.

חוקרים ב-Zscaler אמרו כי גילו הדבקות מחשבונות לינקדאין שנפרצו השייכים למשתמשים העובדים בשיווק דיגיטלי, חלקם עם יותר מ-500 חיבורים ו-1,000 עוקבים, מה שסייע להקל על הונאותיהם של פושעי הסייבר.

דאקטייל נחשב לאחד מזני תוכנות זדוניות רבות שבהן משתמשים פושעי סייבר וייטנאמים כדי לבצע תוכניות הונאה. קיים שיבוט של דאקטייל בשם דאקפורט, שגונב מידע וחוטף חשבונות מטא עסקים מאז סוף מרץ 2023.

האסטרטגיה של קבוצת פושעי הסייבר המשתמשת בדאקפורט היא לפתות קורבנות לאתרים הקשורים למותג שהם מתחזים לו, ולאחר מכן להפנות אותם להורדת קבצים זדוניים משירותי אירוח קבצים כמו דרופבוקס. לדאקפורט יש גם תכונות חדשות, המרחיבות את יכולתה לגנוב מידע ולחטוף חשבונות, לצלם צילומי מסך או לנצל לרעה שירותי רישום הערות מקוונים כדי להחליף את טלגרם ולשלוח פקודות למחשב של הקורבן.

חוקרים אומרים כי לאיומים בווייטנאם יש חפיפה גבוהה ביכולות, בתשתיות ובקורבנות. זה מראה על קשר חיובי בין קבוצות פשע, כלים משותפים, טקטיקות וטכניקות... זוהי כמעט מערכת אקולוגית הדומה למודל כופר כשירות אך מתמקדת בפלטפורמות מדיה חברתית כמו פייסבוק.