Hackerek célozzák meg a Facebook üzleti fiókjait

A The Hacker News szerint a Meta Business és a Facebook-fiókokat célzó kibertámadások az elmúlt évben egyre gyakoribbak lettek a Ducktail és a NodeStealer rosszindulatú programoknak köszönhetően, amelyeket a Facebookon aktív vállalkozások és magánszemélyek megtámadására használnak. A kiberbűnözők által alkalmazott módszerek között jelentős szerepet játszik a társadalmi manipuláció.

Az áldozatokat számos platformon keresztül közelítik meg, a Facebooktól és a LinkedIntől kezdve a WhatsAppon át a szabadúszó állásportálokig. Egy másik ismert terjesztési mechanizmus a keresőmotorok megmérgezése, amelynek célja, hogy a felhasználókat a CapCut, a Notepad++, a ChatGPT, a Google Bard és a Meta Threads hamis verzióinak letöltésére csábítsa... Ezeket a verziókat kiberbűnözők hozták létre, hogy rosszindulatú programokat telepítsenek az áldozatok gépeire.

Gyakori, hogy a kiberbűnözői csoportok URL-rövidítő szolgáltatásokat és a Telegramot használják parancsok és irányítás céljából, valamint legitim felhőszolgáltatásokat, mint például a Trello, a Discord, a Dropbox, az iCloud, a OneDrive és a Mediafire a rosszindulatú programok tárolására.

A Ducktail mögött álló szereplők marketing- és márkaépítési projektekkel csábítják az áldozatokat, hogy feltörjék a Meta üzleti platformján működő magánszemélyek és vállalkozások fiókjait. A potenciális célpontokat Facebook-hirdetéseken vagy LinkedIn InMailen keresztül irányítják az Upwork és a Freelancer hamis bejegyzéseihez, amelyek munkaköri leírásoknak álcázott rosszindulatú fájlokra mutató linkeket tartalmaznak.

A Zscaler ThreatLabz kutatói szerint a Ducktail böngésző sütiket lop, hogy feltörje a Facebook üzleti fiókjait. A művelet zsákmányát (a feltört közösségi média fiókokat) a feketegazdaságnak adják el, ahol hasznosságuk alapján árazzák meg őket, jellemzően 15 és 340 dollár között.

A 2023 februárja és márciusa között megfigyelt számos fertőzési láncban parancsikonok és PowerShell fájlok használata történt a rosszindulatú programok letöltéséhez és elindításához, ami a támadók taktikájának folyamatos fejlődését mutatja.

Ezeket a rosszindulatú tevékenységeket frissítették, hogy a felhasználók személyes adatait gyűjtsék az X-ből (korábban Twitter), a TikTok Businessből és a Google Ads-ből, valamint ellopott Facebook-sütiket használjanak fel csalárd hirdetések automatikus generálására és jogosultságok emelésére más rosszindulatú tevékenységek végrehajtásához.

Az áldozat fiókjának átvételéhez használt módszer az, hogy hozzáadják a hacker e-mail címét a fiókhoz, majd megváltoztatják az áldozat jelszavát és e-mail címét, hogy kizárják a szolgáltatásból.

A WithSecure biztonsági cég szerint a Ducktail mintákban 2023 júliusa óta megfigyelt új funkció a RestartManager (RM) használata a böngésző adatbázisát zároló folyamatok leállítására. Ez a funkció gyakran megtalálható a zsarolóvírusokban, mivel a folyamatok vagy szolgáltatások által használt fájlok nem titkosíthatók.

A Zscaler kutatói azt mondták, hogy a digitális marketinggel foglalkozó felhasználók feltört LinkedIn-fiókjaiból fedeztek fel fertőzéseket, amelyek közül néhánynak több mint 500 kapcsolata és 1000 követője volt, és amelyek elősegítették a kiberbűnözők csalásait.

A Ducktailről úgy tartják, hogy egyike azon számos rosszindulatú programváltozatnak, amelyeket a vietnami kiberbűnözők csalárd cselekmények végrehajtására használnak. Létezik egy Ducktail klón, a Duckport, amely 2023 márciusa óta lop információkat és tör be a Meta Business fiókokba.

A Duckportot használó kiberbűnözői csoport stratégiája az, hogy az áldozatokat az általuk megszemélyesített márkához kapcsolódó weboldalakra csábítsa, majd átirányítsa őket rosszindulatú fájlok letöltésére olyan fájltárhely-szolgáltatásokból, mint a Dropbox. A Duckport új funkciókkal is rendelkezik, kibővítve az információk ellopásának és fiókok eltérítésének, képernyőképek készítésének vagy online jegyzetelő szolgáltatásokkal való visszaélés képességét, hogy a Telegramot felváltva parancsokat küldjön az áldozat gépére.

A kutatók szerint a vietnámi fenyegetések nagyfokú átfedést mutatnak a képességek, az infrastruktúra és az áldozatok tekintetében. Ez pozitív kapcsolatot mutat a bűnözői csoportok, a megosztott eszközök, valamint a taktikák és technikák között... Ez szinte egy olyan ökoszisztéma, amely hasonló a zsarolóvírus-szolgáltatásként modellhez, de a közösségi média platformokra, például a Facebookra összpontosít.