Hackere retter seg mot bedriftskontoer på Facebook

Ifølge The Hacker News har cyberangrep rettet mot Meta Business- og Facebook-kontoer blitt utbredt det siste året takket være skadevaren Ducktail og NodeStealer, som brukes til å angripe bedrifter og enkeltpersoner som er aktive på Facebook. Blant metodene som brukes av nettkriminelle, spiller sosial manipulering en viktig rolle.

Ofre blir kontaktet gjennom en rekke plattformer, fra Facebook, LinkedIn til WhatsApp og frilansjobbportaler. En annen kjent distribusjonsmekanisme er søkemotorforgiftning for å lokke brukere til å laste ned falske versjoner av CapCut, Notepad++, ChatGPT, Google Bard og Meta Threads... Dette er versjoner laget av nettkriminelle for å implantere skadelig programvare på ofrenes maskiner.

Det er vanlig at nettkriminelle grupper bruker URL-forkortingstjenester og Telegram for kommando og kontroll, og legitime skytjenester som Trello, Discord, Dropbox, iCloud, OneDrive og Mediafire for å være vert for skadelig programvare.

Aktørene bak Ducktail lokker ofre med markedsførings- og merkevarebyggingsprosjekter for å kompromittere kontoene til enkeltpersoner og bedrifter som opererer på Metas forretningsplattform. Potensielle mål blir dirigert til falske innlegg på Upwork og Freelancer via Facebook-annonser eller LinkedIn InMail, som inneholder lenker til skadelige filer kamuflert som stillingsbeskrivelser.

Forskere ved Zscaler ThreatLabz sier at Ducktail stjeler nettleserinformasjonskapsler for å kapre Facebook-bedriftskontoer. Inntektene fra denne operasjonen (hackede sosiale mediekontoer) selges til undergrunnsøkonomien , hvor de prises etter nytteverdi, vanligvis fra 15 til 340 dollar.

Flere infeksjonskjeder observert mellom februar og mars 2023 involverte bruk av snarveier og PowerShell-filer for å laste ned og starte skadelig programvare, noe som viser en fortsatt utvikling i angripernes taktikk.

Disse ondsinnede aktivitetene ble også oppdatert for å samle inn brukernes personlige informasjon fra X (tidligere Twitter), TikTok Business og Google Ads, samt utnytte stjålne Facebook-informasjonskapsler for å generere falske annonser på en automatisert måte og øke rettigheter til å utføre andre ondsinnede aktiviteter.

Metoden som brukes for å ta over offerets konto er å legge til hackerens e-postadresse i kontoen, og deretter endre offerets passord og e-postadresse for å låse dem ute fra tjenesten.

Sikkerhetsfirmaet WithSecure sa at en ny funksjon som er observert i Ducktail-eksempler siden juli 2023, er bruken av RestartManager (RM) for å stoppe prosesser som låser nettleserdatabasen. Denne funksjonen finnes ofte i løsepengevirus, fordi filer som brukes av prosesser eller tjenester ikke kan krypteres.

Forskere ved Zscaler sa at de oppdaget infeksjoner fra kompromitterte LinkedIn-kontoer som tilhørte brukere som jobber innen digital markedsføring, noen med mer enn 500 forbindelser og 1000 følgere, noe som bidro til å legge til rette for nettkriminelles svindel.

Ducktail antas å være en av mange skadevaretyper som vietnamesiske nettkriminelle bruker til å utføre svindelforsøk. Det finnes en Ducktail-klone kalt Duckport, som har stjålet informasjon og kapret Meta Business-kontoer siden slutten av mars 2023.

Strategien til den nettkriminelle gruppen som bruker Duckport er å lokke ofre til nettsteder relatert til merkevaren de utgir seg for å være, og deretter omdirigere dem til å laste ned skadelige filer fra filhostingstjenester som Dropbox. Duckport har også nye funksjoner, som utvider muligheten til å stjele informasjon og kapre kontoer, ta skjermbilder eller misbruke nettbaserte notattjenester for å erstatte Telegram for å sende kommandoer til offerets maskin.

Forskere sier at truslene i Vietnam har en høy grad av overlapping i kapabiliteter, infrastruktur og ofre. Dette viser et positivt forhold mellom kriminelle grupper, delte verktøy og taktikker, teknikker ... Dette er nesten et økosystem som ligner på ransomware-as-a-service-modellen, men fokusert på sosiale medieplattformer som Facebook.