Conform The Hacker News , atacurile cibernetice care vizează conturile Meta Business și Facebook s-au răspândit pe scară largă în ultimul an datorită programelor malware Ducktail și NodeStealer, care sunt folosite pentru a ataca companiile și persoanele active pe Facebook. Printre metodele utilizate de infractorii cibernetici, ingineria socială joacă un rol important.
Victimele sunt abordate prin intermediul unei varietăți de platforme, de la Facebook, LinkedIn la WhatsApp și portaluri de locuri de muncă pentru freelanceri. Un alt mecanism de distribuție cunoscut este otrăvirea motoarelor de căutare pentru a atrage utilizatorii să descarce versiuni false de CapCut, Notepad++, ChatGPT, Google Bard și Meta Threads... Acestea sunt versiuni create de infractorii cibernetici pentru a implanta programe malware pe calculatoarele victimelor.
Este obișnuit ca grupurile de infractori cibernetici să utilizeze servicii de scurtare a URL-urilor și Telegram pentru comandă și control, precum și servicii cloud legitime precum Trello, Discord, Dropbox, iCloud, OneDrive și Mediafire pentru a găzdui programe malware.
Actorii din spatele Ducktail atrag victimele cu proiecte de marketing și branding pentru a compromite conturile persoanelor fizice și ale companiilor care operează pe platforma de afaceri Meta. Țintele potențiale sunt direcționate către postări false pe Upwork și Freelancer prin intermediul reclamelor de pe Facebook sau InMail de pe LinkedIn, care conțin link-uri către fișiere rău intenționate deghizate în fișe de post.
Cercetătorii de la Zscaler ThreatLabz spun că Ducktail fură cookie-uri de browser pentru a deturna conturile de Facebook pentru afaceri. Rezultatele acestei operațiuni (conturi de socializare sparte) sunt vândute economiei subterane, unde sunt evaluate în funcție de utilitatea lor, variind de obicei între 15 și 340 de dolari.
Mai multe lanțuri de infecții observate între februarie și martie 2023 au implicat utilizarea de comenzi rapide și fișiere PowerShell pentru descărcarea și lansarea de programe malware, demonstrând o evoluție continuă a tacticilor atacatorilor.
Aceste activități rău intenționate au fost actualizate și pentru a colecta informațiile personale ale utilizatorilor de pe X (fostul Twitter), TikTok Business și Google Ads, precum și pentru a utiliza cookie-urile Facebook furate pentru a genera reclame frauduloase într-un mod automat și pentru a crește privilegiile necesare pentru a efectua alte activități rău intenționate.
Metoda utilizată pentru a prelua controlul asupra contului victimei este de a adăuga adresa de e-mail a hackerului în cont, apoi de a schimba parola și adresa de e-mail a victimei pentru a o bloca accesul la serviciu.
Firma de securitate WithSecure a declarat că o nouă funcționalitate observată în mostrele Ducktail din iulie 2023 este utilizarea RestartManager (RM) pentru a închide procesele care blochează baza de date a browserului. Această funcționalitate se găsește adesea în ransomware, deoarece fișierele utilizate de procese sau servicii nu pot fi criptate.
Unele reclame false au scopul de a păcăli victimele să descarce și să execute programe malware pe computerele lor.
Cercetătorii de la Zscaler au declarat că au descoperit infecții provenite de la conturi LinkedIn compromise aparținând unor utilizatori care lucrează în marketing digital, unii cu peste 500 de conexiuni și 1.000 de urmăritori, ceea ce a contribuit la facilitarea escrocheriilor infractorilor cibernetici.
Se crede că Ducktail este una dintre numeroasele tulpini de malware pe care infractorii cibernetici vietnamezi le folosesc pentru a realiza scheme frauduloase. Există o clonă a Ducktail numită Duckport, care fură informații și deturnează conturi Meta Business de la sfârșitul lunii martie 2023.
Strategia grupului de infractori cibernetici care folosește Duckport este de a atrage victimele către site-uri web legate de brandul pe care îl imitează, apoi de a le redirecționa pentru a descărca fișiere malițioase de la servicii de găzduire de fișiere precum Dropbox. Duckport are, de asemenea, funcții noi, extinzându-și capacitatea de a fura informații și de a deturna conturi, de a face capturi de ecran sau de a abuza de serviciile online de luare de notițe pentru a înlocui Telegram și a trimite comenzi către calculatorul victimei.
Cercetătorii spun că amenințările din Vietnam au un grad ridicat de suprapunere în ceea ce privește capabilitățile, infrastructura și victimele. Acest lucru arată o relație pozitivă între grupurile criminale, instrumentele comune și tacticile, tehnicile... Acesta este aproape un ecosistem similar modelului ransomware-as-a-service, dar axat pe platforme de socializare precum Facebook.
Legătură sursă
![[Fotografie] Ajutați urgent oamenii să aibă în curând un loc unde să locuiască și să își stabilizeze viața](/_next/image?url=https%3A%2F%2Fvphoto.vietnam.vn%2Fthumb%2F1200x675%2Fvietnam%2Fresource%2FIMAGE%2F2025%2F12%2F09%2F1765248230297_c-jpg.webp&w=3840&q=75)
![[Foto] Secretarul general To Lam lucrează cu comisiile permanente ale subcomisiilor celui de-al 14-lea Congres al Partidului](https://vphoto.vietnam.vn/thumb/402x226/vietnam/resource/IMAGE/2025/12/09/1765265023554_image.jpeg)
Comentariu (0)