ตามรายงานของ The Hacker News การโจมตีทางไซเบอร์ที่มุ่งเป้าไปที่บัญชี Meta Business และ Facebook ได้แพร่หลายขึ้นในช่วงปีที่ผ่านมา เนื่องจากมัลแวร์ Ducktail และ NodeStealer ซึ่งถูกใช้เพื่อโจมตีธุรกิจและบุคคลทั่วไปที่ใช้งาน Facebook ในบรรดาวิธีการที่อาชญากรไซเบอร์ใช้ วิศวกรรมสังคมมีบทบาทสำคัญ
เหยื่อถูกเข้าถึงผ่านแพลตฟอร์มหลากหลาย ตั้งแต่ Facebook, LinkedIn ไปจนถึง WhatsApp และเว็บไซต์หางานอิสระ อีกหนึ่งกลไกการแพร่กระจายที่เป็นที่รู้จักคือการโจมตีด้วย Search Engine Poisoning เพื่อล่อลวงผู้ใช้ให้ดาวน์โหลด CapCut, Notepad++, ChatGPT, Google Bard และ Meta Threads เวอร์ชันปลอม... เวอร์ชันเหล่านี้ถูกสร้างขึ้นโดยอาชญากรไซเบอร์เพื่อฝังมัลแวร์ลงในเครื่องของเหยื่อ
กลุ่มอาชญากรทางไซเบอร์มักใช้บริการย่อ URL และ Telegram เพื่อสั่งการและควบคุม รวมถึงใช้บริการคลาวด์ที่ถูกกฎหมาย เช่น Trello, Discord, Dropbox, iCloud, OneDrive และ Mediafire เพื่อโฮสต์มัลแวร์
ผู้อยู่เบื้องหลัง Ducktail ล่อลวงเหยื่อด้วยโครงการการตลาดและการสร้างแบรนด์เพื่อเจาะบัญชีของบุคคลและธุรกิจที่ดำเนินธุรกิจบนแพลตฟอร์มธุรกิจของ Meta เป้าหมายที่อาจตกเป็นเป้าหมายคือโพสต์ปลอมบน Upwork และ Freelancer ผ่านโฆษณาบน Facebook หรือ LinkedIn InMail ซึ่งมีลิงก์ไปยังไฟล์อันตรายที่ปลอมแปลงเป็นคำอธิบายงาน
นักวิจัยจาก Zscaler ThreatLabz ระบุว่า Ducktail ขโมยคุกกี้ของเบราว์เซอร์เพื่อแฮ็กบัญชีธุรกิจของ Facebook ผลประโยชน์ที่ได้จากปฏิบัติการนี้ (บัญชีโซเชียลมีเดียที่ถูกแฮ็ก) จะถูกขายให้กับ ธุรกิจ ใต้ดิน ซึ่งมีราคาตามการใช้งาน โดยทั่วไปอยู่ระหว่าง 15 ถึง 340 ดอลลาร์
การติดไวรัสหลายกรณีที่สังเกตพบระหว่างเดือนกุมภาพันธ์ถึงมีนาคม พ.ศ. 2566 เกี่ยวข้องกับการใช้ทางลัดและไฟล์ PowerShell เพื่อดาวน์โหลดและเปิดใช้มัลแวร์ ซึ่งแสดงให้เห็นถึงวิวัฒนาการต่อเนื่องในกลวิธีของผู้โจมตี
กิจกรรมที่เป็นอันตรายเหล่านี้ยังได้รับการอัปเดตเพื่อรวบรวมข้อมูลส่วนบุคคลของผู้ใช้จาก X (เดิมคือ Twitter), TikTok Business และ Google Ads รวมถึงใช้คุกกี้ที่ขโมยมาจาก Facebook เพื่อสร้างโฆษณาฉ้อโกงในลักษณะอัตโนมัติ และเพิ่มสิทธิ์ในการดำเนินกิจกรรมที่เป็นอันตรายอื่นๆ
วิธีการที่ใช้ในการเข้าควบคุมบัญชีของเหยื่อคือการเพิ่มที่อยู่อีเมลของแฮกเกอร์ลงในบัญชี จากนั้นเปลี่ยนรหัสผ่านและที่อยู่อีเมลของเหยื่อเพื่อล็อกพวกเขาออกจากบริการ
บริษัทรักษาความปลอดภัย WithSecure ระบุว่าฟีเจอร์ใหม่ที่พบในตัวอย่าง Ducktail ตั้งแต่เดือนกรกฎาคม 2566 คือการใช้ RestartManager (RM) เพื่อปิดการทำงานของกระบวนการที่ล็อกฐานข้อมูลเบราว์เซอร์ ฟีเจอร์นี้มักพบในแรนซัมแวร์ เนื่องจากไฟล์ที่กระบวนการหรือบริการต่างๆ ใช้ไม่สามารถเข้ารหัสได้
โฆษณาปลอมบางรายการมีจุดประสงค์เพื่อหลอกเหยื่อให้ดาวน์โหลดและรันมัลแวร์บนคอมพิวเตอร์ของตน
นักวิจัยที่ Zscaler กล่าวว่าพวกเขาค้นพบการติดไวรัสจากบัญชี LinkedIn ที่ถูกบุกรุกซึ่งเป็นของผู้ใช้ที่ทำงานในด้านการตลาดดิจิทัล โดยบางคนมีการเชื่อมต่อมากกว่า 500 รายและมีผู้ติดตาม 1,000 ราย ซึ่งช่วยอำนวยความสะดวกในการหลอกลวงของอาชญากรทางไซเบอร์
เชื่อกันว่า Ducktail เป็นหนึ่งในมัลแวร์สายพันธุ์หนึ่งที่อาชญากรไซเบอร์ชาวเวียดนามใช้เพื่อก่ออาชญากรรมไซเบอร์ มี Ducktail โคลนชื่อว่า Duckport ซึ่งขโมยข้อมูลและแฮ็กบัญชี Meta Business มาตั้งแต่ปลายเดือนมีนาคม 2566
กลยุทธ์ของกลุ่มอาชญากรไซเบอร์ที่ใช้ Duckport คือการล่อเหยื่อไปยังเว็บไซต์ที่เกี่ยวข้องกับแบรนด์ที่พวกเขาปลอมแปลง จากนั้นเปลี่ยนเส้นทางเหยื่อไปดาวน์โหลดไฟล์อันตรายจากบริการโฮสต์ไฟล์อย่าง Dropbox นอกจากนี้ Duckport ยังมีฟีเจอร์ใหม่ๆ อีกด้วย เช่น เพิ่มความสามารถในการขโมยข้อมูล แฮ็กบัญชี จับภาพหน้าจอ หรือใช้บริการจดบันทึกออนไลน์ในทางที่ผิด เพื่อแทนที่ Telegram ในการส่งคำสั่งไปยังเครื่องของเหยื่อ
นักวิจัยระบุว่าภัยคุกคามในเวียดนามมีความทับซ้อนกันสูงทั้งในด้านศักยภาพ โครงสร้างพื้นฐาน และเหยื่อ ซึ่งแสดงให้เห็นถึงความสัมพันธ์เชิงบวกระหว่างกลุ่มอาชญากร เครื่องมือ กลยุทธ์ และเทคนิคที่ใช้ร่วมกัน... ซึ่งแทบจะเป็นระบบนิเวศที่คล้ายคลึงกับรูปแบบ ransomware-as-a-service แต่มุ่งเน้นไปที่แพลตฟอร์มโซเชียลมีเดียอย่าง Facebook
ลิงค์ที่มา
การแสดงความคิดเห็น (0)