Volgens The Hacker News zijn cyberaanvallen op Meta Business- en Facebook-accounts het afgelopen jaar wijdverbreid geworden dankzij de malware Ducktail en NodeStealer, die worden gebruikt om bedrijven en individuen die actief zijn op Facebook aan te vallen. Social engineering speelt een belangrijke rol bij de methoden die cybercriminelen gebruiken.
Slachtoffers worden benaderd via diverse platforms, van Facebook en LinkedIn tot WhatsApp en freelance vacaturesites. Een ander bekend distributiemechanisme is zoekmachinevergiftiging om gebruikers te verleiden nepversies van CapCut, Notepad++, ChatGPT, Google Bard en Meta Threads te downloaden... Dit zijn versies die door cybercriminelen zijn gemaakt om malware op de computers van slachtoffers te installeren.
Cybercriminele groepen gebruiken vaak URL-verkortingsdiensten en Telegram voor commando en controle, en legitieme cloudservices zoals Trello, Discord, Dropbox, iCloud, OneDrive en Mediafire om malware te hosten.
De daders achter Ducktail lokken slachtoffers met marketing- en brandingprojecten om de accounts van personen en bedrijven die actief zijn op Meta's zakelijke platform te hacken. Potentiële slachtoffers worden via Facebook-advertenties of LinkedIn InMail doorverwezen naar nepberichten op Upwork en Freelancer, die links bevatten naar schadelijke bestanden die vermomd zijn als functiebeschrijvingen.
Onderzoekers van Zscaler ThreatLabz zeggen dat Ducktail browsercookies steelt om zakelijke Facebook-accounts te kapen. De buit van deze operatie (gehackte socialemedia-accounts) wordt verkocht aan de ondergrondse economie , waar de prijs ervan wordt bepaald op basis van hun bruikbaarheid, doorgaans variërend van $ 15 tot $ 340.
Verschillende infectieketens die tussen februari en maart 2023 zijn waargenomen, omvatten het gebruik van snelkoppelingen en PowerShell-bestanden om malware te downloaden en te starten. Dit toont aan dat de tactieken van aanvallers zich voortdurend ontwikkelen.
Deze schadelijke activiteiten zijn ook bijgewerkt om persoonlijke gegevens van gebruikers te verzamelen van X (voorheen Twitter), TikTok Business en Google Ads. Daarnaast worden gestolen Facebook-cookies gebruikt om op geautomatiseerde wijze frauduleuze advertenties te genereren en privileges te verhogen om andere schadelijke activiteiten uit te voeren.
De methode die gebruikt wordt om het account van het slachtoffer over te nemen, is om het e-mailadres van de hacker aan het account toe te voegen en vervolgens het wachtwoord en e-mailadres van het slachtoffer te wijzigen om hem of haar buiten de dienst te sluiten.
Beveiligingsbedrijf WithSecure meldde dat een nieuwe functie die sinds juli 2023 in Ducktail-samples is waargenomen, het gebruik van RestartManager (RM) is om processen te beëindigen die de browserdatabase vergrendelen. Deze functie wordt vaak aangetroffen in ransomware, omdat bestanden die door processen of services worden gebruikt, niet kunnen worden versleuteld.
Sommige nepadvertenties zijn bedoeld om slachtoffers ertoe aan te zetten malware te downloaden en uit te voeren op hun computer.
Onderzoekers van Zscaler verklaarden dat ze infecties ontdekten via gecompromitteerde LinkedIn-accounts van gebruikers die werkzaam waren in de digitale marketing. Sommigen hadden meer dan 500 connecties en 1.000 volgers. Dit hielp de cybercriminelen bij het uitvoeren van hun oplichtingspraktijken.
Ducktail wordt beschouwd als een van de vele malwarevarianten die Vietnamese cybercriminelen gebruiken om frauduleuze praktijken uit te voeren. Er bestaat een Ducktail-kloon genaamd Duckport, die sinds eind maart 2023 informatie steelt en Meta Business-accounts kaapt.
De strategie van de cybercriminele groep die Duckport gebruikt, is om slachtoffers te lokken naar websites die gerelateerd zijn aan het merk dat ze imiteren en ze vervolgens om te leiden om schadelijke bestanden te downloaden van bestandshostingservices zoals Dropbox. Duckport heeft ook nieuwe functies, zoals het uitbreiden van de mogelijkheden om informatie te stelen en accounts te kapen, screenshots te maken of online notitieservices te misbruiken om Telegram te vervangen en opdrachten naar de computer van het slachtoffer te sturen.
Onderzoekers stellen dat dreigingen in Vietnam een hoge mate van overlap vertonen qua capaciteiten, infrastructuur en slachtoffers. Dit toont een positieve relatie aan tussen criminele groepen, gedeelde tools, tactieken en technieken. Dit is bijna een ecosysteem dat vergelijkbaar is met het ransomware-as-a-service-model, maar dan gericht op socialemediaplatforms zoals Facebook.
Bronlink
![[Foto] Help mensen dringend om zo snel mogelijk een plek te vinden om te wonen en hun leven te stabiliseren](/_next/image?url=https%3A%2F%2Fvphoto.vietnam.vn%2Fthumb%2F1200x675%2Fvietnam%2Fresource%2FIMAGE%2F2025%2F12%2F09%2F1765248230297_c-jpg.webp&w=3840&q=75)
![[Foto] Secretaris-generaal van Lam werkt samen met de vaste commissies van de subcommissies van het 14e partijcongres](https://vphoto.vietnam.vn/thumb/402x226/vietnam/resource/IMAGE/2025/12/09/1765265023554_image.jpeg)
Reactie (0)