Хакеры атакуют бизнес-аккаунты на Facebook

По данным The Hacker News , кибератаки на аккаунты Meta Business и Facebook стали более распространенными за последний год благодаря вредоносным программам Ducktail и NodeStealer, которые используются для атак на компании и отдельных лиц, активных в Facebook. Среди методов, используемых киберпреступниками, важную роль играет социальная инженерия.

Жертвы находят друг друга через различные платформы, от Facebook, LinkedIn до WhatsApp и порталов по трудоустройству фрилансеров. Другой известный механизм распространения — отравление поисковых систем, чтобы заставить пользователей загрузить поддельные версии CapCut, Notepad++, ChatGPT, Google Bard и Meta Threads, среди прочих, которые являются версиями, созданными киберпреступниками для внедрения вредоносного ПО на машины жертв.

Киберпреступные группировки часто используют сервисы сокращения URL-адресов и Telegram для управления и контроля, а также легитимные облачные сервисы, такие как Trello, Discord, Dropbox, iCloud, OneDrive и Mediafire, для размещения вредоносного ПО.

Участники Ducktail заманивают жертв маркетинговыми и брендинговыми проектами, чтобы скомпрометировать аккаунты частных лиц и компаний, работающих на бизнес-платформе Meta. Потенциальные цели направляются к поддельным постам на Upwork и Freelancer через Facebook или LinkedIn InMail-рекламу, содержащую ссылки на вредоносные файлы, замаскированные под описания вакансий.

Исследователи из Zscaler ThreatLabz заявили, что Ducktail крадет куки из браузеров, чтобы захватить бизнес-аккаунты Facebook. Доходы от этой операции (взломанные аккаунты социальных сетей) продаются в подпольную экономику , где они оцениваются в зависимости от их полезности, обычно от 15 до 340 долларов.

Несколько цепочек заражения, наблюдавшихся в период с февраля по март 2023 года, включали использование ярлыков и файлов PowerShell для загрузки и запуска вредоносного ПО, что свидетельствует о продолжающейся эволюции тактики злоумышленников.

Эти вредоносные действия также были обновлены для сбора личной информации пользователей из X (ранее Twitter), TikTok Business и Google Ads, а также для использования украденных файлов cookie Facebook для создания мошеннической рекламы в автоматическом режиме и повышения привилегий для выполнения других вредоносных действий.

Метод, используемый для взлома учетной записи жертвы, заключается в добавлении адреса электронной почты хакера в учетную запись, а затем изменении пароля и адреса электронной почты жертвы, чтобы заблокировать ей доступ к сервису.

Компания WithSecure, занимающаяся безопасностью, заявила, что новая функция, обнаруженная в образцах Ducktail с июля 2023 года, — это использование RestartManager (RM) для завершения процессов, блокирующих базу данных браузера. Эта функция часто встречается в программах-вымогателях, поскольку файлы, используемые процессами или службами, не могут быть зашифрованы.

Исследователи из Zscaler заявили, что обнаружили заражения со взломанных аккаунтов LinkedIn, принадлежащих пользователям, работающим в сфере цифрового маркетинга, некоторые из которых имели более 500 связей и 1000 подписчиков, что способствовало мошенничеству киберпреступников.

Ducktail считается одним из многих штаммов вредоносного ПО, которые вьетнамские киберпреступники используют для осуществления мошеннических схем. Существует клон Ducktail под названием Duckport, который крадет информацию и взламывает учетные записи Meta Business с конца марта 2023 года.

Стратегия киберпреступной группировки, использующей Duckport, заключается в том, чтобы заманить жертв на веб-сайты, связанные с брендом, за который они себя выдают, а затем перенаправить их на загрузку вредоносных файлов с файлообменников, таких как Dropbox. Duckport также имеет новые функции, расширяющие его возможности по краже информации и взлому учетных записей, созданию снимков экрана или использованию онлайн-сервисов для создания заметок, чтобы заменить Telegram для отправки команд на машину жертвы.

Исследователи говорят, что угрозы во Вьетнаме имеют высокую степень совпадения в возможностях, инфраструктуре и жертвах. Это показывает положительную связь между преступными группами, общими инструментами, тактиками, методами и т. д. Это почти экосистема, похожая на модель ransomware-as-a-service, но сфокусированная на платформах социальных сетей, таких как Facebook.