Enligt The Hacker News har cyberattacker riktade mot Meta Business- och Facebook-konton blivit utbredda under det senaste året tack vare skadliga program som Ducktail och NodeStealer, vilka används för att attackera företag och individer som är aktiva på Facebook. Bland de metoder som används av cyberbrottslingar spelar social ingenjörskonst en viktig roll.
Offren kontaktas via en mängd olika plattformar, från Facebook, LinkedIn till WhatsApp och frilansjobbportaler. En annan känd distributionsmekanism är sökmotorförgiftning för att locka användare att ladda ner falska versioner av CapCut, Notepad++, ChatGPT, Google Bard och Meta Threads... Det här är versioner som skapats av cyberbrottslingar för att implantera skadlig programvara på offrens maskiner.
Det är vanligt att cyberkriminella grupper använder URL-förkortningstjänster och Telegram för kommandon och kontroll, och legitima molntjänster som Trello, Discord, Dropbox, iCloud, OneDrive och Mediafire för att vara värd för skadlig kod.
Aktörerna bakom Ducktail lockar offer med marknadsförings- och varumärkesprojekt för att kompromettera konton för individer och företag som verkar på Metas affärsplattform. Potentiella måltavlor dirigeras till falska inlägg på Upwork och Freelancer via Facebook-annonser eller LinkedIn InMail, vilka innehåller länkar till skadliga filer förklädda till arbetsbeskrivningar.
Forskare på Zscaler ThreatLabz säger att Ducktail stjäl webbläsarcookies för att kapa Facebooks företagskonton. Vinsterna från denna operation (hackade konton på sociala medier) säljs till den underjordiska ekonomin , där de prissätts utifrån deras användbarhet, vanligtvis mellan 15 och 340 dollar.
Flera infektionskedjor som observerades mellan februari och mars 2023 involverade användningen av genvägar och PowerShell-filer för att ladda ner och starta skadlig kod, vilket visar på en fortsatt utveckling av angriparnas taktik.
Dessa skadliga aktiviteter uppdaterades också för att samla in användares personliga information från X (tidigare Twitter), TikTok Business och Google Ads, samt utnyttja stulna Facebook-cookies för att generera bedrägliga annonser på ett automatiserat sätt och utöka behörigheter för att utföra andra skadliga aktiviteter.
Metoden som används för att ta över offrets konto är att lägga till hackarens e-postadress till kontot och sedan ändra offrets lösenord och e-postadress för att spärra dem från tjänsten.
Säkerhetsföretaget WithSecure sa att en ny funktion som observerats i Ducktail-exempel sedan juli 2023 är användningen av RestartManager (RM) för att stoppa processer som låser webbläsarens databas. Denna funktion finns ofta i ransomware, eftersom filer som används av processer eller tjänster inte kan krypteras.
En del bedrägliga annonser är utformade för att lura offer att ladda ner och köra skadlig kod på sina datorer.
Forskare på Zscaler sa att de upptäckte infektioner från komprometterade LinkedIn-konton som tillhör användare som arbetar inom digital marknadsföring, vissa med mer än 500 kontakter och 1 000 följare, vilket hjälpte till att underlätta cyberbrottslingarnas bedrägerier.
Ducktail tros vara en av många skadliga programvaror som vietnamesiska cyberbrottslingar använder för att utföra bedrägerier. Det finns en Ducktail-klon som heter Duckport, som har stulit information och kapat Meta Business-konton sedan slutet av mars 2023.
Strategin för den cyberkriminella gruppen som använder Duckport är att locka offer till webbplatser relaterade till det varumärke de utger sig för att vara, och sedan omdirigera dem för att ladda ner skadliga filer från filhanteringstjänster som Dropbox. Duckport har också nya funktioner, som utökar möjligheten att stjäla information och kapa konton, ta skärmdumpar eller missbruka anteckningstjänster online för att ersätta Telegram för att skicka kommandon till offrets dator.
Forskare säger att hoten i Vietnam har en hög grad av överlappning i kapacitet, infrastruktur och offer. Detta visar ett positivt samband mellan kriminella grupper, delade verktyg och taktiker, tekniker... Detta är nästan ett ekosystem som liknar ransomware-as-a-service-modellen men fokuserat på sociala medieplattformar som Facebook.
[annons_2]
Källänk
Kommentar (0)