해커들이 페이스북의 비즈니스 계정을 표적으로 삼고 있습니다.

해커 뉴스 에 따르면, 메타 비즈니스와 페이스북 계정을 노리는 사이버 공격은 페이스북에서 활동하는 기업과 개인을 공격하는 데 사용되는 Ducktail과 NodeStealer 악성코드 덕분에 지난 한 해 동안 더욱 확산되었습니다. 사이버 범죄자들이 사용하는 수법 중 소셜 엔지니어링이 중요한 역할을 합니다.

피해자들은 페이스북, 링크드인, 왓츠앱, 프리랜서 구인 포털 등 다양한 플랫폼을 통해 접근합니다. 또 다른 알려진 유포 방식은 검색 엔진 포이즈닝으로, 사용자들이 CapCut, Notepad++, ChatGPT, Google Bard, Meta Threads 등의 가짜 버전을 다운로드하도록 유도하는 것입니다. 이러한 가짜 버전들은 사이버 범죄자들이 피해자의 컴퓨터에 악성코드를 심기 위해 만든 것입니다.

사이버범죄 집단이 명령과 제어를 위해 URL 단축 서비스와 Telegram을 사용하고, Trello, Discord, Dropbox, iCloud, OneDrive, Mediafire와 같은 합법적인 클라우드 서비스를 이용해 맬웨어를 호스팅하는 것은 흔한 일입니다.

Ducktail의 배후에 있는 해커들은 Meta의 비즈니스 플랫폼에서 운영되는 개인 및 기업의 계정을 해킹하기 위해 마케팅 및 브랜딩 프로젝트를 이용하여 피해자들을 유인합니다. 잠재적 공격 대상은 페이스북 광고나 LinkedIn InMail을 통해 Upwork와 Freelancer에 게시된 가짜 게시물로 유도되는데, 여기에는 구인 공고처럼 위장한 악성 파일 링크가 포함되어 있습니다.

Zscaler ThreatLabz 연구원들은 Ducktail이 브라우저 쿠키를 훔쳐 페이스북 비즈니스 계정을 해킹한다고 밝혔습니다. 이 작전의 수익(해킹된 소셜 미디어 계정)은 지하 경제 에 판매되며, 유용성에 따라 가격이 책정되는데, 일반적으로 15달러에서 340달러 사이입니다.

2023년 2월과 3월 사이에 관찰된 여러 감염 사슬에는 바로가기와 PowerShell 파일을 사용하여 맬웨어를 다운로드하고 실행하는 방식이 포함되어 있었으며, 이는 공격자의 전술이 지속적으로 진화하고 있음을 보여줍니다.

이러한 악성 활동은 X(구 Twitter), TikTok Business, Google Ads에서 사용자의 개인 정보를 수집하고, 도난당한 Facebook 쿠키를 활용하여 자동화된 방식으로 사기성 광고를 생성하고, 다른 악성 활동을 수행할 수 있는 권한을 상승시키도록 업데이트되었습니다.

피해자의 계정을 탈취하는 데 사용되는 방법은 해커의 이메일 주소를 계정에 추가한 다음 피해자의 비밀번호와 이메일 주소를 변경하여 서비스에서 차단하는 것입니다.

보안 회사 WithSecure는 2023년 7월 이후 Ducktail 샘플에서 발견된 새로운 기능으로 RestartManager(RM)를 사용하여 브라우저 데이터베이스를 잠그는 프로세스를 종료하는 기능을 꼽았습니다. 이 기능은 프로세스나 서비스에서 사용하는 파일을 암호화할 수 없기 때문에 랜섬웨어에서 흔히 발견됩니다.

Zscaler의 연구원들은 디지털 마케팅 분야에 종사하는 사용자의 손상된 LinkedIn 계정에서 감염이 발견되었다고 밝혔는데, 이 중 일부는 500개 이상의 연결과 1,000명 이상의 팔로워를 보유하고 있었으며, 이는 사이버 범죄자들의 사기 행위를 용이하게 하는 데 도움이 되었다고 합니다.

Ducktail은 베트남 사이버 범죄자들이 사기 행각에 사용하는 여러 악성코드 변종 중 하나로 여겨집니다. Duckport라는 Ducktail 유사 변종이 있는데, 2023년 3월 말부터 Meta Business 계정을 탈취하고 정보를 훔쳐 왔습니다.

덕포트를 사용하는 사이버 범죄 조직의 전략은 피해자를 사칭하는 브랜드와 관련된 웹사이트로 유인한 다음, 드롭박스와 같은 파일 호스팅 서비스에서 악성 파일을 다운로드하도록 유도하는 것입니다. 덕포트는 또한 정보 탈취 및 계정 도용, 스크린샷 촬영, 온라인 메모 작성 서비스 악용 등 텔레그램을 대체하여 피해자의 기기에 명령을 전송하는 새로운 기능을 갖추고 있습니다.

연구원들은 베트남의 위협이 역량, 인프라, 그리고 피해자 측면에서 상당히 중복된다고 말합니다. 이는 범죄 조직, 공유 도구, 전술 및 기법 간에 긍정적인 상관관계가 있음을 보여줍니다. 이는 서비스형 랜섬웨어(RaaS) 모델과 거의 유사한 생태계이지만, 페이스북과 같은 소셜 미디어 플랫폼에 초점을 맞추고 있습니다.