Peretas menargetkan akun bisnis di Facebook

Menurut The Hacker News , serangan siber yang menargetkan akun Meta Business dan Facebook telah meluas selama setahun terakhir berkat malware Ducktail dan NodeStealer, yang digunakan untuk menyerang bisnis dan individu yang aktif di Facebook. Di antara metode yang digunakan oleh penjahat siber, rekayasa sosial memainkan peran penting.

Korban didekati melalui berbagai platform, mulai dari Facebook, LinkedIn, WhatsApp, hingga portal lowongan kerja lepas. Mekanisme distribusi lain yang diketahui adalah peracunan mesin pencari (SEO) untuk memikat pengguna agar mengunduh versi palsu CapCut, Notepad++, ChatGPT, Google Bard, dan Meta Threads... Versi-versi ini dibuat oleh penjahat siber untuk menanamkan malware di komputer korban.

Kelompok penjahat dunia maya lazim menggunakan layanan pemendek URL dan Telegram untuk perintah dan kendali, serta layanan cloud yang sah seperti Trello, Discord, Dropbox, iCloud, OneDrive, dan Mediafire untuk menghosting malware.

Para pelaku di balik Ducktail memikat korban dengan proyek pemasaran dan pencitraan merek untuk meretas akun individu dan bisnis yang beroperasi di platform bisnis Meta. Target potensial diarahkan ke postingan palsu di Upwork dan Freelancer melalui iklan Facebook atau LinkedIn InMail, yang berisi tautan ke berkas berbahaya yang disamarkan sebagai deskripsi pekerjaan.

Para peneliti di Zscaler ThreatLabz mengatakan Ducktail mencuri kuki peramban untuk membajak akun bisnis Facebook. Hasil operasi ini (akun media sosial yang diretas) dijual ke ekonomi bawah tanah, yang harganya ditentukan berdasarkan kegunaannya, biasanya berkisar antara $15 hingga $340.

Beberapa rantai infeksi yang diamati antara Februari dan Maret 2023 melibatkan penggunaan pintasan dan file PowerShell untuk mengunduh dan meluncurkan malware, yang menunjukkan evolusi berkelanjutan dalam taktik penyerang.

Aktivitas jahat ini juga diperbarui untuk mengumpulkan informasi pribadi pengguna dari X (sebelumnya Twitter), TikTok Business, dan Google Ads, serta memanfaatkan cookie Facebook yang dicuri untuk membuat iklan palsu secara otomatis dan meningkatkan hak istimewa untuk melakukan aktivitas jahat lainnya.

Metode yang digunakan untuk mengambil alih akun korban adalah dengan menambahkan alamat email peretas ke akun tersebut, lalu mengubah kata sandi dan alamat email korban untuk mengunci mereka dari layanan.

Perusahaan keamanan WithSecure mengatakan fitur baru yang diamati dalam sampel Ducktail sejak Juli 2023 adalah penggunaan RestartManager (RM) untuk menghentikan proses yang mengunci basis data peramban. Fitur ini sering ditemukan dalam ransomware, karena berkas yang digunakan oleh proses atau layanan tidak dapat dienkripsi.

Para peneliti di Zscaler mengatakan mereka menemukan infeksi dari akun LinkedIn yang disusupi milik pengguna yang bekerja di bidang pemasaran digital, beberapa memiliki lebih dari 500 koneksi dan 1.000 pengikut, yang membantu memfasilitasi penipuan yang dilakukan para penjahat dunia maya.

Ducktail diyakini sebagai salah satu dari banyak jenis malware yang digunakan penjahat siber Vietnam untuk melakukan skema penipuan. Terdapat klon Ducktail bernama Duckport, yang telah mencuri informasi dan membajak akun Meta Business sejak akhir Maret 2023.

Strategi kelompok penjahat siber yang menggunakan Duckport adalah dengan memikat korban ke situs web yang terkait dengan merek yang mereka tiru, lalu mengarahkan mereka untuk mengunduh berkas berbahaya dari layanan hosting berkas seperti Dropbox. Duckport juga memiliki fitur baru, memperluas kemampuannya untuk mencuri informasi dan membajak akun, mengambil tangkapan layar, atau menyalahgunakan layanan pencatatan daring untuk menggantikan Telegram dalam mengirimkan perintah ke komputer korban.

Para peneliti mengatakan bahwa ancaman di Vietnam memiliki tingkat tumpang tindih yang tinggi dalam hal kemampuan, infrastruktur, dan korban. Hal ini menunjukkan hubungan positif antara kelompok kriminal, alat, serta taktik dan teknik yang sama... Ini hampir merupakan ekosistem yang mirip dengan model ransomware-as-a-service, tetapi berfokus pada platform media sosial seperti Facebook.