Neue finanzgetriebene Malware zielt auf Profis mit Zugriff auf Facebook Business-Konten ab

Neue Malware ist auf freiem Fuß und wurde speziell entwickelt, um Facebook Business-Konten zu stehlen. Am wichtigsten ist, dass es auf Personen abzielt, die Zugang zu solchen Konten haben, wie z. B. Personalverantwortliche und digitale Vermarkter. Wenn Sie einer von ihnen sind, sollten Sie daher online besonders vorsichtig sein, insbesondere wenn Sie Dateien herunterladen, die verdächtig aussehen. (über TechCrunch)

Die Existenz der Malware wurde vom Cybersicherheitsunternehmen WithSecure entdeckt, das bereits die Details seiner Forschung mit teilte Meta. Benannt nach „Ducktail”-Kampagne soll die Malware in der Lage sein, Daten von Zielen zu stehlen, die anhand ihrer LinkedIn-Profilinformationen ausgewählt werden. Um den Erfolg der Operation weiter sicherzustellen, sollen die Akteure Fachleute mit einem hohen Maß an Zugriff auf die Facebook-Geschäftskonten ihres Unternehmens auswählen.

„Wir glauben, dass die Ducktail-Betreiber sorgfältig eine kleine Anzahl von Zielen auswählen, um ihre Erfolgschancen zu erhöhen und unbemerkt zu bleiben“, sagte Mohammad Kazem Hassan Nejad, Forscher und Malware-Analyst bei WithSecure Intelligence. „Wir haben beobachtet, dass Personen in Unternehmen in den Bereichen Management, digitales Marketing, digitale Medien und Personalwesen gezielt angegriffen wurden.“

Laut WithSecure haben sie Beweisstücke gefunden, die zeigen, dass ein vietnamesischer Cyberkrimineller seit 2021 an der Malware arbeitet und diese verbreitet. Es gab an, dass es den Erfolg der Operation oder die Anzahl der betroffenen Benutzer nicht sagen konnte. Darüber hinaus behaupten die Forscher von WithSecure, dass bei den Angriffen kein regionales Muster beobachtet wurde, die Opfer jedoch an verschiedenen Orten in Europa, dem Nahen Osten, Afrika und Nordamerika verstreut sein könnten.

WithSecure erklärte, dass der böswillige Akteur nach der Auswahl der richtigen Ziele diese manipulieren würde, um eine Cloud-Datei (z. B. Dropbox und iCloud) herunterzuladen. Um die Datei überzeugend zu machen, würde sie sogar mit geschäfts- und markenbezogenen Wörtern versehen sein. Die wahre Natur der Datei liegt jedoch in der datenstehlenden Malware, die sie verbirgt.

Durch die Installation der Datei wird die Malware freigesetzt, die die wertvollen Daten des Ziels wie Browser-Cookies speichern kann, die die Akteure verwenden können, um authentifizierte Facebook-Sitzungen zu übernehmen. Damit können sie das Opfer in die Finger bekommen Facebook Kontoinformationen wie Standortdaten und Zwei-Faktor-Authentifizierungscodes. Diejenigen, die Zugriff auf Facebook Business-Konten haben, müssen lediglich eine E-Mail-Adresse zum gekaperten Konto hinzufügen.

„Der Empfänger – in diesem Fall der Angreifer – interagiert dann mit dem per E-Mail gesendeten Link, um Zugang zu diesem Facebook-Unternehmen zu erhalten“, erklärt Nejad. „Dieser Mechanismus stellt den Standardprozess dar, der verwendet wird, um Einzelpersonen Zugang zu einem Facebook-Unternehmen zu gewähren, und umgeht somit Sicherheitsfunktionen, die von Meta implementiert wurden, um vor einem solchen Missbrauch zu schützen.“

Sobald die Ducktail-Betreiber die volle Kontrolle über die Facebook-Geschäftskonten haben, können sie schließlich die Finanzinformationen der Konten durch die ihrer Gruppe ersetzen, sodass sie die Zahlungen von Kunden und Kunden erhalten können. Dies gibt ihnen auch die Möglichkeit, das mit den Konten verbundene Geld für verschiedene Zwecke zu verwenden.