แฮกเกอร์กำลังเล็งเป้าหมายไปที่บัญชีธุรกิจบน Facebook

ตามรายงานของ The Hacker News การโจมตีทางไซเบอร์ที่มุ่งเป้าไปที่บัญชี Meta Business และ Facebook กลายเป็นเรื่องปกติมากขึ้นในช่วงปีที่ผ่านมา เนื่องจากมัลแวร์ Ducktail และ NodeStealer ซึ่งถูกใช้เพื่อโจมตีธุรกิจและบุคคลทั่วไปที่ใช้งาน Facebook ในบรรดาวิธีการที่อาชญากรไซเบอร์ใช้ วิศวกรรมสังคมมีบทบาทสำคัญ

เหยื่อถูกเข้าถึงผ่านหลากหลายแพลตฟอร์ม ตั้งแต่ Facebook, LinkedIn ไปจนถึง WhatsApp และเว็บไซต์หางานอิสระ อีกหนึ่งกลไกการแพร่กระจายที่เป็นที่รู้จักคือการโจมตีด้วย Search Engine Poisoning เพื่อล่อลวงให้ผู้ใช้ดาวน์โหลด CapCut, Notepad++, ChatGPT, Google Bard และ Meta Threads เวอร์ชันปลอม ซึ่งเป็นเวอร์ชันที่อาชญากรไซเบอร์สร้างขึ้นเพื่อฝังมัลแวร์ลงในเครื่องของเหยื่อ

กลุ่มอาชญากรทางไซเบอร์มักใช้บริการย่อ URL และ Telegram เพื่อสั่งการและควบคุม รวมถึงใช้บริการคลาวด์ที่ถูกกฎหมาย เช่น Trello, Discord, Dropbox, iCloud, OneDrive และ Mediafire เพื่อโฮสต์มัลแวร์

ผู้อยู่เบื้องหลัง Ducktail ล่อลวงเหยื่อด้วยโครงการการตลาดและการสร้างแบรนด์เพื่อเจาะบัญชีของบุคคลและธุรกิจที่ดำเนินธุรกิจบนแพลตฟอร์มธุรกิจของ Meta เป้าหมายที่อาจตกเป็นเหยื่อคือโพสต์ปลอมบน Upwork และ Freelancer ผ่านโฆษณา Facebook หรือ LinkedIn InMail ที่มีลิงก์ไปยังไฟล์อันตรายที่ปลอมแปลงเป็นคำอธิบายงาน

นักวิจัยจาก Zscaler ThreatLabz ระบุว่า Ducktail ขโมยคุกกี้จากเบราว์เซอร์เพื่อแฮ็กบัญชีธุรกิจของ Facebook ผลประโยชน์ที่ได้จากปฏิบัติการนี้ (บัญชีโซเชียลมีเดียที่ถูกแฮ็ก) จะถูกขายให้กับ ธุรกิจ ใต้ดิน ซึ่งมีราคาตามความเหมาะสม โดยทั่วไปจะอยู่ระหว่าง 15 ถึง 340 ดอลลาร์

การติดไวรัสหลายกรณีที่สังเกตพบระหว่างเดือนกุมภาพันธ์ถึงมีนาคม พ.ศ. 2566 เกี่ยวข้องกับการใช้ทางลัดและไฟล์ PowerShell เพื่อดาวน์โหลดและเปิดใช้มัลแวร์ แสดงให้เห็นถึงวิวัฒนาการต่อเนื่องในกลวิธีของผู้โจมตี

กิจกรรมที่เป็นอันตรายเหล่านี้ยังได้รับการอัปเดตเพื่อรวบรวมข้อมูลส่วนบุคคลของผู้ใช้จาก X (เดิมคือ Twitter), TikTok Business และ Google Ads รวมถึงใช้คุกกี้ที่ขโมยมาจาก Facebook เพื่อสร้างโฆษณาฉ้อโกงในลักษณะอัตโนมัติ และเพิ่มสิทธิ์ในการดำเนินกิจกรรมที่เป็นอันตรายอื่นๆ

วิธีการที่ใช้ในการเข้าควบคุมบัญชีของเหยื่อคือการเพิ่มที่อยู่อีเมลของแฮกเกอร์ลงในบัญชี จากนั้นเปลี่ยนรหัสผ่านและที่อยู่อีเมลของเหยื่อเพื่อล็อกพวกเขาออกจากบริการ

บริษัทรักษาความปลอดภัย WithSecure ระบุว่าฟีเจอร์ใหม่ที่พบในตัวอย่าง Ducktail ตั้งแต่เดือนกรกฎาคม 2566 คือการใช้ RestartManager (RM) เพื่อปิดการทำงานของกระบวนการที่ล็อกฐานข้อมูลเบราว์เซอร์ ฟีเจอร์นี้มักพบในแรนซัมแวร์ เนื่องจากไฟล์ที่กระบวนการหรือบริการต่างๆ ใช้ไม่สามารถเข้ารหัสได้

นักวิจัยที่ Zscaler กล่าวว่าพวกเขาพบการติดเชื้อจากบัญชี LinkedIn ที่ถูกบุกรุกซึ่งเป็นของผู้ใช้ที่ทำงานในด้านการตลาดดิจิทัล โดยบางคนมีการเชื่อมต่อมากกว่า 500 รายและผู้ติดตาม 1,000 ราย ซึ่งช่วยอำนวยความสะดวกในการหลอกลวงของอาชญากรทางไซเบอร์

เชื่อกันว่า Ducktail เป็นหนึ่งในมัลแวร์สายพันธุ์หนึ่งที่อาชญากรไซเบอร์ชาวเวียดนามใช้ประโยชน์เพื่อดำเนินการฉ้อโกง มี Ducktail โคลนชื่อว่า Duckport ซึ่งขโมยข้อมูลและแฮ็กบัญชี Meta Business มาตั้งแต่ปลายเดือนมีนาคม 2566

กลยุทธ์ของกลุ่มอาชญากรไซเบอร์ที่ใช้ Duckport คือการล่อเหยื่อไปยังเว็บไซต์ที่เกี่ยวข้องกับแบรนด์ที่พวกเขาปลอมแปลง จากนั้นเปลี่ยนเส้นทางเหยื่อไปดาวน์โหลดไฟล์อันตรายจากบริการโฮสต์ไฟล์อย่าง Dropbox นอกจากนี้ Duckport ยังมีฟีเจอร์ใหม่ๆ อีกด้วย เช่น เพิ่มความสามารถในการขโมยข้อมูล แฮ็กบัญชี จับภาพหน้าจอ หรือใช้บริการจดบันทึกออนไลน์ในทางที่ผิด เพื่อแทนที่ Telegram ในการส่งคำสั่งไปยังเครื่องของเหยื่อ

นักวิจัยระบุว่าภัยคุกคามในเวียดนามมีความทับซ้อนกันสูงทั้งในด้านศักยภาพ โครงสร้างพื้นฐาน และเหยื่อ ซึ่งแสดงให้เห็นถึงความสัมพันธ์เชิงบวกระหว่างกลุ่มอาชญากร เครื่องมือ กลยุทธ์ เทคนิค และอื่นๆ ที่ใช้ร่วมกัน ซึ่งแทบจะเป็นระบบนิเวศที่คล้ายคลึงกับรูปแบบ ransomware-as-a-service แต่มุ่งเน้นไปที่แพลตฟอร์มโซเชียลมีเดีย เช่น Facebook