По данным The Hacker News , кибератаки на аккаунты Meta Business и Facebook стали широко распространенными за последний год благодаря вредоносным программам Ducktail и NodeStealer, которые используются для атак на компании и пользователей Facebook. Среди методов, используемых киберпреступниками, важную роль играет социальная инженерия.
Жертвы атакуются через различные платформы, от Facebook, LinkedIn до WhatsApp и порталов по трудоустройству фрилансеров. Другой известный механизм распространения — это отравление поисковых систем, чтобы заставить пользователей загрузить поддельные версии CapCut, Notepad++, ChatGPT, Google Bard и Meta Threads... Эти версии создаются киберпреступниками для внедрения вредоносного ПО на устройства жертв.
Киберпреступные группировки часто используют сервисы сокращения URL-адресов и Telegram для управления и контроля, а также легитимные облачные сервисы, такие как Trello, Discord, Dropbox, iCloud, OneDrive и Mediafire, для размещения вредоносного ПО.
Злоумышленники, стоящие за Ducktail, заманивают жертв маркетинговыми и брендинговыми проектами, чтобы взломать аккаунты частных лиц и компаний, работающих на бизнес-платформе Meta. Потенциальные жертвы перенаправляют их на поддельные публикации на Upwork и Freelancer через рекламу в Facebook или InMail в LinkedIn, содержащие ссылки на вредоносные файлы, замаскированные под описания вакансий.
Исследователи из Zscaler ThreatLabz утверждают, что Ducktail крадет файлы cookie браузера для взлома корпоративных аккаунтов Facebook. Доходы от этой операции (взломанные аккаунты социальных сетей) продаются в подпольную экономику по цене, зависящей от их полезности, которая обычно колеблется от 15 до 340 долларов.
Несколько цепочек заражения, наблюдавшихся в период с февраля по март 2023 года, включали использование ярлыков и файлов PowerShell для загрузки и запуска вредоносного ПО, что свидетельствует о продолжающейся эволюции тактики злоумышленников.
Эти вредоносные действия также были обновлены для сбора личной информации пользователей из X (ранее Twitter), TikTok Business и Google Ads, а также для использования украденных файлов cookie Facebook для создания мошеннической рекламы в автоматическом режиме и повышения привилегий для выполнения других вредоносных действий.
Метод, используемый для захвата учетной записи жертвы, заключается в добавлении адреса электронной почты хакера к учетной записи, а затем изменении пароля и адреса электронной почты жертвы, чтобы заблокировать ей доступ к сервису.
Компания WithSecure, специализирующаяся на информационной безопасности, сообщила, что новая функция, обнаруженная в образцах Ducktail с июля 2023 года, — это использование RestartManager (RM) для завершения процессов, блокирующих базу данных браузера. Эта функция часто встречается в программах-вымогателях, поскольку файлы, используемые процессами или службами, невозможно зашифровать.
Некоторые фальшивые рекламные объявления направлены на то, чтобы обманом заставить жертву загрузить и запустить на своих компьютерах вредоносное ПО.
Исследователи из Zscaler заявили, что обнаружили заражения со стороны взломанных аккаунтов LinkedIn, принадлежащих пользователям, работающим в сфере цифрового маркетинга. Некоторые из них имели более 500 связей и 1000 подписчиков, что способствовало мошенническим действиям киберпреступников.
Считается, что Ducktail — один из многих видов вредоносного ПО, используемых вьетнамскими киберпреступниками для осуществления мошеннических схем. Существует клон Ducktail под названием Duckport, который крадет информацию и взламывает аккаунты Meta Business с конца марта 2023 года.
Стратегия киберпреступной группировки, использующей Duckport, заключается в том, чтобы заманить жертв на веб-сайты, связанные с брендом, за который они себя выдают, а затем перенаправить их на загрузку вредоносных файлов с файлообменников, таких как Dropbox. Duckport также обладает новыми функциями, расширяющими возможности по краже информации и взлому аккаунтов, созданию скриншотов и использованию онлайн-сервисов для создания заметок, заменяя Telegram для отправки команд на устройство жертвы.
Исследователи утверждают, что угрозы во Вьетнаме во многом схожи по возможностям, инфраструктуре и жертвам. Это свидетельствует о наличии положительной связи между преступными группировками, общими инструментами, тактиками и методами... Это практически экосистема, похожая на модель «программы-вымогатели как услуга», но ориентированная на социальные сети, такие как Facebook.
Ссылка на источник
![[Фото] Срочно помогите людям найти место для проживания и стабилизировать свою жизнь.](/_next/image?url=https%3A%2F%2Fvphoto.vietnam.vn%2Fthumb%2F1200x675%2Fvietnam%2Fresource%2FIMAGE%2F2025%2F12%2F09%2F1765248230297_c-jpg.webp&w=3840&q=75)
![[Фото] Генеральный секретарь То Лам работает с постоянными комитетами подкомитетов XIV съезда партии](https://vphoto.vietnam.vn/thumb/402x226/vietnam/resource/IMAGE/2025/12/09/1765265023554_image.jpeg)
Комментарий (0)