The Hacker News'e göre, Facebook'ta faaliyet gösteren işletmelere ve bireylere saldırmak için kullanılan Ducktail ve NodeStealer kötü amaçlı yazılımları sayesinde, Meta Business ve Facebook hesaplarını hedef alan siber saldırılar son bir yılda yaygınlaştı. Siber suçluların kullandığı yöntemler arasında sosyal mühendislik önemli bir rol oynuyor.
Mağdurlara Facebook, LinkedIn, WhatsApp ve serbest meslek portalları gibi çeşitli platformlar aracılığıyla ulaşılıyor. Bilinen bir diğer dağıtım mekanizması ise, kullanıcıları CapCut, Notepad++, ChatGPT, Google Bard ve Meta Threads gibi uygulamaların sahte sürümlerini indirmeye teşvik etmek için arama motoru zehirlemesi. Bunlar, siber suçlular tarafından mağdurların bilgisayarlarına kötü amaçlı yazılım yerleştirmek için oluşturulan sürümlerdir.
Siber suç gruplarının komuta ve kontrol için URL kısaltma servislerini ve Telegram'ı, kötü amaçlı yazılımları barındırmak için ise Trello, Discord, Dropbox, iCloud, OneDrive ve Mediafire gibi meşru bulut servislerini kullanması yaygındır.
Ducktail'in arkasındaki aktörler, Meta'nın iş platformunda faaliyet gösteren kişi ve işletmelerin hesaplarını ele geçirmek için pazarlama ve marka oluşturma projeleriyle kurbanları cezbediyor. Potansiyel hedefler, Facebook reklamları veya LinkedIn InMail aracılığıyla Upwork ve Freelancer'da iş tanımı kisvesi altında kötü amaçlı dosyalara bağlantılar içeren sahte gönderilere yönlendiriliyor.
Zscaler ThreatLabz araştırmacıları, Ducktail'in Facebook işletme hesaplarını ele geçirmek için tarayıcı çerezlerini çaldığını söylüyor. Bu operasyonun ganimetleri (saldırıya uğrayan sosyal medya hesapları), yeraltı ekonomisine satılıyor ve burada genellikle 15 ila 340 dolar arasında değişen, kullanışlılıklarına göre fiyatlandırılıyor.
Şubat ve Mart 2023 arasında gözlemlenen birkaç enfeksiyon zincirinde, kötü amaçlı yazılımları indirmek ve başlatmak için kısayollar ve PowerShell dosyalarının kullanıldığı görüldü ve bu durum saldırganların taktiklerinde sürekli bir evrim olduğunu gösteriyor.
Bu kötü amaçlı faaliyetler, X (eski adıyla Twitter), TikTok Business ve Google Ads'den kullanıcıların kişisel bilgilerini toplamak, çalınan Facebook çerezlerini kullanarak otomatik bir şekilde sahte reklamlar oluşturmak ve diğer kötü amaçlı faaliyetleri gerçekleştirmek için ayrıcalıkları yükseltmek üzere de güncellendi.
Kurbanın hesabını ele geçirmek için kullanılan yöntem, hesaba bilgisayar korsanının e-posta adresini eklemek, ardından kurbanın şifresini ve e-posta adresini değiştirerek onu hizmetten mahrum bırakmaktır.
Güvenlik firması WithSecure, Temmuz 2023'ten bu yana Ducktail örneklerinde gözlemlenen yeni bir özelliğin, tarayıcı veritabanını kilitleyen işlemleri sonlandırmak için RestartManager (RM) kullanımı olduğunu belirtti. Bu özellik genellikle fidye yazılımlarında bulunur, çünkü işlemler veya hizmetler tarafından kullanılan dosyalar şifrelenemez.
Bazı sahte reklamlar, kurbanları kandırıp bilgisayarlarına kötü amaçlı yazılımları indirmelerini ve çalıştırmalarını sağlamayı amaçlar.
Zscaler araştırmacıları, dijital pazarlama alanında çalışan ve bazıları 500'den fazla bağlantı ve 1.000'den fazla takipçiye sahip olan kullanıcılara ait LinkedIn hesaplarının ele geçirilmesiyle bulaşan enfeksiyonları keşfettiklerini ve bunun siber suçluların dolandırıcılıklarını kolaylaştırdığını söyledi.
Ducktail'in, Vietnamlı siber suçluların dolandırıcılık planlarını gerçekleştirmek için kullandığı birçok kötü amaçlı yazılım türünden biri olduğuna inanılıyor. Duckport adında bir Ducktail klonu da var ve Mart 2023'ün sonlarından beri bilgi çalıyor ve Meta Business hesaplarını ele geçiriyor.
Duckport'u kullanan siber suç grubunun stratejisi, kurbanları taklit ettikleri markayla ilgili web sitelerine çekmek ve ardından Dropbox gibi dosya barındırma hizmetlerinden kötü amaçlı dosyalar indirmeye yönlendirmektir. Duckport ayrıca, Telegram'ın kurbanın bilgisayarına komut göndermek için kullandığı bilgi çalma, hesapları ele geçirme, ekran görüntüsü alma veya çevrimiçi not alma hizmetlerini kötüye kullanma yeteneğini genişleten yeni özelliklere de sahiptir.
Araştırmacılar, Vietnam'daki tehditlerin yetenekler, altyapı ve kurbanlar açısından yüksek oranda örtüştüğünü söylüyor. Bu, suç grupları, paylaşılan araçlar, taktikler ve teknikler arasında olumlu bir ilişki olduğunu gösteriyor. Bu, neredeyse fidye yazılımı hizmet modeliyle benzer bir ekosistem, ancak Facebook gibi sosyal medya platformlarına odaklanıyor.
[reklam_2]
Kaynak bağlantısı
Yorum (0)