Menurut The Hacker News , serangan siber yang menyasarkan akaun Meta Business dan Facebook telah berleluasa sejak tahun lalu berkat perisian hasad Ducktail dan NodeStealer, yang digunakan untuk menyerang perniagaan dan individu yang aktif di Facebook. Antara kaedah yang digunakan oleh penjenayah siber, kejuruteraan sosial memainkan peranan penting.
Mangsa didekati melalui pelbagai platform, daripada Facebook, LinkedIn ke WhatsApp dan portal pekerjaan bebas. Satu lagi mekanisme pengedaran yang diketahui ialah keracunan enjin carian untuk memikat pengguna memuat turun versi palsu CapCut, Notepad++, ChatGPT, Google Bard dan Benang Meta... Ini adalah versi yang dicipta oleh penjenayah siber untuk menanam perisian hasad pada mesin mangsa.
Adalah perkara biasa bagi kumpulan penjenayah siber untuk menggunakan perkhidmatan memendekkan URL dan Telegram untuk arahan dan kawalan, dan perkhidmatan awan yang sah seperti Trello, Discord, Dropbox, iCloud, OneDrive dan Mediafire untuk mengehoskan perisian hasad.
Pelakon di belakang Ducktail memikat mangsa dengan projek pemasaran dan penjenamaan untuk menjejaskan akaun individu dan perniagaan yang beroperasi di platform perniagaan Meta. Sasaran berpotensi diarahkan kepada siaran palsu di Upwork dan Freelancer melalui iklan Facebook atau LinkedIn InMail, yang mengandungi pautan ke fail berniat jahat yang menyamar sebagai huraian kerja.
Penyelidik di Zscaler ThreatLabz berkata Ducktail mencuri kuki penyemak imbas untuk merampas akaun perniagaan Facebook. Harta rampasan operasi ini (akaun media sosial yang digodam) dijual kepada ekonomi bawah tanah , di mana ia diberi harga mengikut kegunaannya, biasanya antara $15 hingga $340.
Beberapa rantaian jangkitan yang diperhatikan antara Februari dan Mac 2023 melibatkan penggunaan pintasan dan fail PowerShell untuk memuat turun dan melancarkan perisian hasad, menunjukkan evolusi berterusan dalam taktik penyerang.
Aktiviti berniat jahat ini juga dikemas kini untuk mengumpul maklumat peribadi pengguna daripada X (dahulunya Twitter), Perniagaan TikTok dan Google Ads, serta memanfaatkan kuki Facebook yang dicuri untuk menjana iklan penipuan secara automatik dan meningkatkan keistimewaan untuk melakukan aktiviti berniat jahat yang lain.
Kaedah yang digunakan untuk mengambil alih akaun mangsa adalah dengan menambah alamat e-mel penggodam ke akaun, kemudian menukar kata laluan dan alamat e-mel mangsa untuk mengunci mereka daripada perkhidmatan.
Firma keselamatan WithSecure berkata ciri baharu yang diperhatikan dalam sampel Ducktail sejak Julai 2023 ialah penggunaan RestartManager (RM) untuk mematikan proses yang mengunci pangkalan data penyemak imbas. Ciri ini sering ditemui dalam perisian tebusan, kerana fail yang digunakan oleh proses atau perkhidmatan tidak boleh disulitkan.
Sesetengah iklan palsu bertujuan untuk menipu mangsa supaya memuat turun dan melaksanakan perisian hasad pada komputer mereka.
Penyelidik di Zscaler berkata mereka menemui jangkitan daripada akaun LinkedIn yang terjejas milik pengguna yang bekerja dalam pemasaran digital, ada yang mempunyai lebih daripada 500 sambungan dan 1,000 pengikut, yang membantu memudahkan penipuan penjenayah siber.
Ducktail dipercayai sebagai salah satu daripada banyak jenis perisian hasad yang digunakan oleh penjenayah siber Vietnam untuk menjalankan skim penipuan. Terdapat klon Ducktail yang dipanggil Duckport, yang telah mencuri maklumat dan merampas akaun Meta Business sejak akhir Mac 2023.
Strategi kumpulan penjenayah siber menggunakan Duckport adalah untuk menarik mangsa ke laman web yang berkaitan dengan jenama yang mereka samar, kemudian mengubah hala mereka untuk memuat turun fail berniat jahat daripada perkhidmatan pengehosan fail seperti Dropbox. Duckport juga mempunyai ciri baharu, mengembangkan keupayaannya untuk mencuri maklumat dan merampas akaun, mengambil tangkapan skrin, atau menyalahgunakan perkhidmatan mengambil nota dalam talian untuk menggantikan Telegram untuk menghantar arahan kepada mesin mangsa.
Penyelidik mengatakan bahawa ancaman di Vietnam mempunyai tahap pertindihan yang tinggi dalam keupayaan, infrastruktur dan mangsa. Ini menunjukkan hubungan positif antara kumpulan penjenayah, alat kongsi dan taktik, teknik... Ini hampir merupakan ekosistem yang serupa dengan model perisian tebusan-sebagai-perkhidmatan tetapi tertumpu pada platform media sosial seperti Facebook.
Pautan sumber
Komen (0)