แฮกเกอร์กำลังเล็งเป้าหมายไปที่บัญชีธุรกิจบน Facebook

จากรายงานของ The Hacker News การโจมตีทางไซเบอร์ที่มุ่งเป้าไปที่บัญชี Meta Business และ Facebook ได้แพร่หลายมากขึ้นในช่วงปีที่ผ่านมา เนื่องมาจากมัลแวร์ Ducktail และ NodeStealer ซึ่งใช้โจมตีธุรกิจและบุคคลที่ใช้งาน Facebook โดยวิธีการที่อาชญากรไซเบอร์ใช้หลายวิธีนั้น รวมถึงเทคนิคการหลอกลวงทางสังคม (Social Engineering) ซึ่งมีบทบาทสำคัญ

เหยื่อจะถูกติดต่อผ่านแพลตฟอร์มต่างๆ มากมาย ตั้งแต่ Facebook, LinkedIn ไปจนถึง WhatsApp และเว็บไซต์หางานฟรีแลนซ์ กลไกการแพร่กระจายอีกอย่างที่รู้จักกันดีคือการโจมตีด้วยมัลแวร์ผ่านเครื่องมือค้นหา เพื่อล่อให้ผู้ใช้ดาวน์โหลดโปรแกรมปลอม เช่น CapCut, Notepad++, ChatGPT, Google Bard และ Meta Threads... ซึ่งเป็นโปรแกรมที่อาชญากรไซเบอร์สร้างขึ้นเพื่อฝังมัลแวร์ลงในเครื่องของเหยื่อ

เป็นเรื่องปกติที่กลุ่มอาชญากรไซเบอร์จะใช้บริการย่อ URL และ Telegram สำหรับการควบคุมและสั่งการ และใช้บริการคลาวด์ที่ถูกกฎหมาย เช่น Trello, Discord, Dropbox, iCloud, OneDrive และ Mediafire เพื่อจัดเก็บมัลแวร์

กลุ่มแฮ็กเกอร์ที่อยู่เบื้องหลัง Ducktail ล่อลวงเหยื่อด้วยโครงการด้านการตลาดและการสร้างแบรนด์เพื่อแฮ็กบัญชีของบุคคลและธุรกิจที่ดำเนินงานบนแพลตฟอร์มธุรกิจของ Meta ผู้ที่ตกเป็นเป้าหมายจะถูกนำไปยังโพสต์ปลอมบน Upwork และ Freelancer ผ่านโฆษณาบน Facebook หรือ LinkedIn InMail ซึ่งมีลิงก์ไปยังไฟล์ที่เป็นอันตรายซึ่งปลอมแปลงเป็นรายละเอียดงาน

นักวิจัยจาก Zscaler ThreatLabz กล่าวว่า Ducktail ขโมยคุกกี้ของเบราว์เซอร์เพื่อแฮ็กบัญชีธุรกิจของ Facebook ของที่ได้มาจากการแฮ็ก (บัญชีโซเชียลมีเดียที่ถูกแฮ็ก) จะถูกขายใน ตลาดมืด โดยมีราคาแตกต่างกันไปตามประโยชน์ใช้สอย โดยทั่วไปราคาจะอยู่ระหว่าง 15 ถึง 340 ดอลลาร์

จากการตรวจสอบพบเครือข่ายการติดเชื้อหลายชุดระหว่างเดือนกุมภาพันธ์ถึงมีนาคม 2023 พบว่ามีการใช้ทางลัดและไฟล์ PowerShell ในการดาวน์โหลดและเรียกใช้มัลแวร์ ซึ่งแสดงให้เห็นถึงวิวัฒนาการอย่างต่อเนื่องของกลยุทธ์ของผู้โจมตี

กิจกรรมที่เป็นอันตรายเหล่านี้ได้รับการปรับปรุงเพิ่มเติมเพื่อรวบรวมข้อมูลส่วนบุคคลของผู้ใช้จาก X (เดิมคือ Twitter), TikTok Business และ Google Ads รวมถึงใช้คุกกี้ Facebook ที่ถูกขโมยมาเพื่อสร้างโฆษณาหลอกลวงโดยอัตโนมัติ และยกระดับสิทธิ์เพื่อดำเนินกิจกรรมที่เป็นอันตรายอื่นๆ

วิธีการที่ใช้ในการเข้ายึดบัญชีของเหยื่อคือ การเพิ่มที่อยู่อีเมลของแฮ็กเกอร์เข้าไปในบัญชี จากนั้นเปลี่ยนรหัสผ่านและที่อยู่อีเมลของเหยื่อเพื่อล็อกไม่ให้เหยื่อเข้าใช้บริการได้

บริษัทรักษาความปลอดภัย WithSecure กล่าวว่า คุณสมบัติใหม่ที่พบในตัวอย่างของ Ducktail ตั้งแต่เดือนกรกฎาคม 2023 คือการใช้ RestartManager (RM) เพื่อยุติกระบวนการที่ล็อกฐานข้อมูลของเบราว์เซอร์ คุณสมบัตินี้มักพบในแรนซัมแวร์ เนื่องจากไฟล์ที่ใช้โดยกระบวนการหรือบริการต่างๆ ไม่สามารถเข้ารหัสได้

นักวิจัยจาก Zscaler กล่าวว่า พวกเขาค้นพบการติดไวรัสจากบัญชี LinkedIn ที่ถูกแฮ็ก ซึ่งเป็นของผู้ใช้ที่ทำงานด้านการตลาดดิจิทัล บางบัญชีมีผู้ติดต่อมากกว่า 500 รายและผู้ติดตามมากกว่า 1,000 ราย ซึ่งเป็นช่องทางที่ช่วยให้เหล่าอาชญากรไซเบอร์สามารถหลอกลวงผู้คนได้

เชื่อกันว่า Ducktail เป็นหนึ่งในมัลแวร์หลายสายพันธุ์ที่อาชญากรไซเบอร์ชาวเวียดนามใช้ในการก่ออาชญากรรมฉ้อโกง นอกจากนี้ยังมีมัลแวร์ที่คล้ายกับ Ducktail ชื่อ Duckport ซึ่งขโมยข้อมูลและเข้ายึดบัญชี Meta Business มาตั้งแต่ปลายเดือนมีนาคม 2023

กลยุทธ์ของกลุ่มอาชญากรไซเบอร์ที่ใช้ Duckport คือการล่อลวงเหยื่อไปยังเว็บไซต์ที่เกี่ยวข้องกับแบรนด์ที่พวกเขาแอบอ้าง จากนั้นจึงเปลี่ยนเส้นทางให้เหยื่อดาวน์โหลดไฟล์ที่เป็นอันตรายจากบริการฝากไฟล์ เช่น Dropbox นอกจากนี้ Duckport ยังมีคุณสมบัติใหม่ๆ ที่ขยายขีดความสามารถในการขโมยข้อมูลและยึดบัญชี ถ่ายภาพหน้าจอ หรือใช้บริการจดบันทึกออนไลน์เพื่อแทนที่ Telegram ในการส่งคำสั่งไปยังเครื่องของเหยื่อ

นักวิจัยกล่าวว่าภัยคุกคามในเวียดนามมีความทับซ้อนกันสูงในด้านขีดความสามารถ โครงสร้างพื้นฐาน และเหยื่อ ซึ่งแสดงให้เห็นถึงความสัมพันธ์เชิงบวกระหว่างกลุ่มอาชญากร เครื่องมือที่ใช้ร่วมกัน กลยุทธ์ และเทคนิคต่างๆ... นี่เกือบจะเป็นระบบนิเวศที่คล้ายกับโมเดลแรนซัมแวร์แบบบริการ (ransomware-as-a-service) แต่เน้นไปที่แพลตฟอร์มโซเชียลมีเดีย เช่น เฟซบุ๊ก