The Hacker News 에 따르면, Facebook에서 활동하는 기업과 개인을 공격하는 Ducktail과 NodeStealer 맬웨어로 인해 Meta Business와 Facebook 계정을 표적으로 삼는 사이버 공격이 지난해에 비해 더 흔해졌습니다. 사이버 범죄자들이 사용하는 방법 중에서 사회 공학이 중요한 역할을 합니다.

피해자들은 Facebook, LinkedIn, WhatsApp, 프리랜서 구인 포털 등 다양한 플랫폼을 통해 접근합니다. 또 다른 알려진 배포 방법은 CapCut, Notepad++, ChatGPT, Google Bard, Meta Threads의 가짜 버전을 다운로드하도록 사용자를 유인하는 검색 엔진 포이즈닝입니다. 이러한 버전은 사이버 범죄자가 피해자의 컴퓨터에 맬웨어를 설치할 목적으로 만든 버전입니다.

사이버범죄 집단이 명령과 제어를 위해 URL 단축 서비스와 Telegram을 사용하고, Trello, Discord, Dropbox, iCloud, OneDrive, Mediafire와 같은 합법적인 클라우드 서비스를 이용해 맬웨어를 호스팅하는 것은 흔한 일입니다.

Ducktail의 배후에 있는 사람들은 Meta의 비즈니스 플랫폼에서 운영되는 개인 및 기업의 계정을 손상시키기 위해 마케팅 및 브랜딩 전략을 이용해 피해자를 유인합니다. 잠재적인 타깃은 Facebook이나 LinkedIn InMail 광고를 통해 Upwork와 Freelancer에 게시된 가짜 게시물로 유도되는데, 여기에는 직무 설명으로 위장한 악성 파일에 대한 링크가 포함되어 있습니다.

Zscaler ThreatLabz의 연구원들은 Ducktail이 브라우저에서 쿠키를 훔쳐 Facebook 비즈니스 계정을 해킹한다고 밝혔습니다. 이러한 작전에서 얻은 수익(해킹된 소셜 미디어 계정)은 지하 경제 로 흘러들어가는데, 유용성에 따라 가격이 책정되는데, 일반적으로 15달러에서 340달러 사이입니다.

2023년 2월과 3월 사이에 관찰된 여러 감염 사슬에는 바로가기와 PowerShell 파일을 사용하여 맬웨어를 다운로드하고 실행하는 방식이 포함되어 있었으며, 이는 공격자의 전술이 지속적으로 진화하고 있음을 보여줍니다.

이러한 악성 활동은 X(구 Twitter), TikTok Business, Google Ads에서 사용자의 개인 정보를 수집하고, 도난당한 Facebook 쿠키를 활용하여 자동화된 방식으로 사기성 광고를 생성하고, 다른 악성 활동을 수행할 수 있는 권한을 상승시키도록 업데이트되었습니다.

피해자의 계정을 탈취하는 데 사용되는 방법은 해커의 이메일 주소를 계정에 추가한 다음 피해자의 비밀번호와 이메일 주소를 변경하여 서비스에 접속하지 못하도록 하는 것입니다.

보안 회사 WithSecure에 따르면, 2023년 7월 이후 Ducktail 샘플에서 관찰된 새로운 기능은 브라우저 데이터베이스를 잠그는 프로세스를 종료하기 위해 RestartManager(RM)를 사용하는 것이라고 합니다. 이 기능은 랜섬웨어에서 흔히 발견되는데, 프로세스나 서비스에서 사용하는 파일을 암호화할 수 없기 때문입니다.

Zscaler의 연구원들은 디지털 마케팅 분야에 종사하는 사용자의 손상된 LinkedIn 계정에서 감염이 발견되었다고 밝혔는데, 이 중 일부는 500개 이상의 연결과 1,000명 이상의 팔로워를 보유하고 있었습니다. 이는 사이버범죄 사기를 용이하게 하는 데 도움이 되었습니다.

Ducktail은 베트남 사이버 범죄자들이 사기 계획을 실행하는 데 악용하는 수많은 맬웨어 종류 중 하나로 알려져 있습니다. Duckport라는 Ducktail 복제본이 있는데, 2023년 3월 말부터 Meta Business 계정 해킹과 함께 정보 도용을 자행해 왔습니다.

Duckport를 사용하는 사이버 범죄자들의 전략은 자신들이 사칭하는 브랜드와 관련된 웹사이트로 피해자를 유인한 다음, Dropbox와 같은 파일 호스팅 서비스에서 악성 파일을 다운로드하도록 리디렉션하는 것입니다. Duckport에는 Telegram을 대체하여 정보를 훔치고 계정을 하이재킹하고, 스크린샷을 찍거나 온라인 메모 서비스를 악용하여 피해자의 컴퓨터에 명령을 전송하는 기능이 확장된 새로운 기능도 있습니다.

연구자들은 베트남의 위협은 역량, 인프라, 피해자 측면에서 상당한 중복이 있다고 말합니다. 이는 범죄 집단, 공유 도구 및 전술, 기술 간에 긍정적인 관계가 있음을 보여줍니다. 이는 랜섬웨어 즉 서비스 모델과 거의 유사한 생태계이지만 Facebook과 같은 소셜 미디어 플랫폼에 초점을 맞춥니다.