Według The Hacker News , cyberataki na konta Meta Business i Facebooka stały się powszechne w ciągu ostatniego roku za sprawą złośliwego oprogramowania Ducktail i NodeStealer, które służy do ataków na firmy i osoby aktywne na Facebooku. Wśród metod stosowanych przez cyberprzestępców istotną rolę odgrywa socjotechnika.
Ofiary są nawiązywane za pośrednictwem różnych platform, od Facebooka, przez LinkedIn, WhatsApp, po portale z ofertami pracy dla freelancerów. Innym znanym mechanizmem dystrybucji jest zatruwanie wyszukiwarek (search engine poisoning), mające na celu nakłonienie użytkowników do pobrania fałszywych wersji CapCut, Notepad++, ChatGPT, Google Bard i Meta Threads... Są to wersje tworzone przez cyberprzestępców w celu wszczepienia złośliwego oprogramowania na komputery ofiar.
Cyberprzestępcy często korzystają z usług skracania adresów URL oraz Telegramu w celu dowodzenia i kontroli, a także z legalnych usług w chmurze, takich jak Trello, Discord, Dropbox, iCloud, OneDrive i Mediafire, w celu hostowania złośliwego oprogramowania.
Aktorzy stojący za Ducktail wabią ofiary projektami marketingowymi i brandingowymi, aby włamać się na konta osób i firm działających na platformie biznesowej Meta. Potencjalne ofiary są kierowane do fałszywych postów na Upwork i Freelancer za pośrednictwem reklam na Facebooku lub wiadomości InMail w LinkedIn, które zawierają linki do złośliwych plików podszywających się pod opisy stanowisk.
Badacze z Zscaler ThreatLabz twierdzą, że Ducktail kradnie pliki cookie przeglądarki, aby przejąć kontrolę nad firmowymi kontami na Facebooku. Łupy z tej operacji (zhakowane konta w mediach społecznościowych) są sprzedawane do szarej strefy , gdzie ich cena zależy od ich użyteczności, zazwyczaj od 15 do 340 dolarów.
Kilka łańcuchów infekcji zaobserwowanych między lutym a marcem 2023 r. polegało na wykorzystaniu skrótów i plików programu PowerShell do pobierania i uruchamiania złośliwego oprogramowania, co dowodzi ciągłej ewolucji taktyk stosowanych przez atakujących.
Te złośliwe działania zostały również zaktualizowane w celu gromadzenia danych osobowych użytkowników z X (dawniej Twitter), TikTok Business i Google Ads, a także wykorzystania skradzionych plików cookie Facebooka do automatycznego generowania fałszywych reklam i zwiększania uprawnień do wykonywania innych złośliwych działań.
Metoda przejęcia konta ofiary polega na dodaniu adresu e-mail hakera do konta, a następnie zmianie hasła i adresu e-mail ofiary, aby zablokować jej dostęp do usługi.
Firma WithSecure, zajmująca się bezpieczeństwem, poinformowała, że nową funkcją obserwowaną w próbkach Ducktail od lipca 2023 roku jest użycie RestartManager (RM) do zamykania procesów blokujących bazę danych przeglądarki. Funkcja ta jest często spotykana w oprogramowaniu ransomware, ponieważ plików używanych przez procesy lub usługi nie można zaszyfrować.
Niektóre fałszywe reklamy mają na celu nakłonienie ofiar do pobrania i uruchomienia złośliwego oprogramowania na ich komputerach.
Badacze z Zscaler poinformowali, że odkryli infekcje pochodzące z przejętych kont LinkedIn, które należały do użytkowników zajmujących się marketingiem cyfrowym. Niektórzy z nich mieli ponad 500 kontaktów i 1000 obserwujących, co ułatwiło cyberprzestępcom przeprowadzanie oszustw.
Uważa się, że Ducktail jest jednym z wielu szczepów złośliwego oprogramowania, które wietnamscy cyberprzestępcy wykorzystują do przeprowadzania oszustw. Istnieje klon Ducktail o nazwie Duckport, który od końca marca 2023 roku kradnie informacje i przejmuje konta Meta Business.
Strategia cyberprzestępców wykorzystujących Duckport polega na zwabianiu ofiar na strony internetowe związane z marką, pod którą się podszywają, a następnie przekierowywaniu ich do pobierania złośliwych plików z usług hostingowych, takich jak Dropbox. Duckport oferuje również nowe funkcje, rozszerzające możliwości kradzieży informacji i przejmowania kontroli nad kontami, robienia zrzutów ekranu czy wykorzystywania internetowych serwisów do robienia notatek, aby zastąpić Telegram i wysyłać polecenia na komputer ofiary.
Naukowcy twierdzą, że zagrożenia w Wietnamie w dużym stopniu pokrywają się pod względem możliwości, infrastruktury i ofiar. Świadczy to o pozytywnym związku między grupami przestępczymi, wspólnymi narzędziami, taktykami i technikami… To niemal ekosystem podobny do modelu ransomware-as-a-service, ale skoncentrowany na platformach społecznościowych, takich jak Facebook.
Link źródłowy
Komentarz (0)