Το νέο κακόβουλο λογισμικό που βασίζεται σε οικονομικές βάσεις στοχεύει επαγγελματίες με πρόσβαση στον λογαριασμό Facebook Business

Ένα νέο κακόβουλο λογισμικό είναι σε κυκλοφορία και έχει δημιουργηθεί ειδικά για την κατάσχεση λογαριασμών στο Facebook Business. Το πιο σημαντικό, στοχεύει άτομα με πρόσβαση σε τέτοιους λογαριασμούς, όπως άτομα ανθρώπινου δυναμικού και επαγγελματίες του ψηφιακού μάρκετινγκ. Με αυτό, εάν είστε ένας από αυτούς, ίσως θέλετε να είστε ιδιαίτερα προσεκτικοί στο διαδίκτυο, ειδικά όταν κάνετε λήψη αρχείων που φαίνονται ύποπτα. (μέσω TechCrunch)

Η ύπαρξη του κακόβουλου λογισμικού ανακαλύφθηκε από την επιχείρηση ασφάλειας στον κυβερνοχώρο WithSecure, η οποία ήδη μοιράστηκε τις λεπτομέρειες της έρευνάς της με Meta. Ονομάστηκε το «Ducktail», λέγεται ότι το κακόβουλο λογισμικό μπορεί να κλέβει δεδομένα από στόχους, οι οποίοι επιλέγονται με βάση τις πληροφορίες του προφίλ τους στο LinkedIn. Για να εξασφαλίσουν περαιτέρω την επιτυχία της επιχείρησης, οι ηθοποιοί λέγεται ότι επιλέγουν επαγγελματίες με υψηλό επίπεδο πρόσβασης στους λογαριασμούς Facebook Business της εταιρείας τους.

«Πιστεύουμε ότι οι χειριστές Ducktail επιλέγουν προσεκτικά έναν μικρό αριθμό στόχων για να αυξήσουν τις πιθανότητες επιτυχίας τους και να παραμείνουν απαρατήρητοι», δήλωσε ο ερευνητής της WithSecure Intelligence και αναλυτής κακόβουλου λογισμικού Mohammad Kazem Hassan Nejad. «Παρατηρήσαμε άτομα με ρόλους διαχείρισης, ψηφιακού μάρκετινγκ, ψηφιακών μέσων και ανθρώπινου δυναμικού σε εταιρείες να έχουν στοχοποιηθεί».

Σύμφωνα με το WithSecure, βρήκαν στοιχεία που δείχνουν έναν βιετναμέζο εγκληματία στον κυβερνοχώρο να εργάζεται και να διανέμει το κακόβουλο λογισμικό από το 2021. Δήλωσε ότι δεν μπορούσε να πει την επιτυχία της επιχείρησης ή τον αριθμό των χρηστών που επηρεάστηκαν. Επιπλέον, οι ερευνητές στο WithSecure ισχυρίζονται ότι δεν έχει παρατηρηθεί περιφερειακό μοτίβο στις επιθέσεις, αλλά τα θύματα θα μπορούσαν να είναι διασκορπισμένα σε διάφορες τοποθεσίες στην Ευρώπη, τη Μέση Ανατολή, την Αφρική και τη Βόρεια Αμερική.

Η WithSecure εξήγησε ότι αφού επιλέξει τους σωστούς στόχους, ο κακόβουλος παράγοντας θα τους χειραγωγούσε για να κατεβάσει ένα αρχείο cloud (π.χ. Dropbox και iCloud). Για να γίνει το αρχείο πειστικό, θα συνοδεύεται ακόμη και από λέξεις που σχετίζονται με τις επιχειρήσεις και την επωνυμία. Ωστόσο, η πραγματική φύση του αρχείου βρίσκεται στο κακόβουλο λογισμικό που υποκλοπή δεδομένων κρύβει.

Η εγκατάσταση του αρχείου θα απελευθερώσει το κακόβουλο λογισμικό που μπορεί να συνεχίσει να έχει τα πολύτιμα δεδομένα του στόχου, όπως τα cookies του προγράμματος περιήγησης, τα οποία οι ηθοποιοί μπορούν να χρησιμοποιήσουν για να αναλάβουν επαληθευμένες περιόδους σύνδεσης στο Facebook. Με αυτό, μπορούν να βάλουν στα χέρια τους το θύμα Facebook πληροφορίες λογαριασμού, όπως δεδομένα τοποθεσίας και κωδικοί ελέγχου ταυτότητας δύο παραγόντων. Όσο για όσους έχουν πρόσβαση σε λογαριασμούς Facebook Business, οι ηθοποιοί πρέπει απλώς να προσθέσουν μια διεύθυνση ηλεκτρονικού ταχυδρομείου στον λογαριασμό που έχει παραβιαστεί.

«Ο παραλήπτης - σε αυτήν την περίπτωση, ο παράγοντας απειλής - στη συνέχεια αλληλεπιδρά με τον σύνδεσμο που αποστέλλεται μέσω email για να αποκτήσει πρόσβαση σε αυτήν την επιχείρηση Facebook», εξηγεί ο Nejad. "Αυτός ο μηχανισμός αντιπροσωπεύει την τυπική διαδικασία που χρησιμοποιείται για να παραχωρήσει σε άτομα πρόσβαση σε μια επιχείρηση Facebook και έτσι παρακάμπτει τις λειτουργίες ασφαλείας που εφαρμόζει η Meta για την προστασία από τέτοια κατάχρηση."

Τέλος, όταν οι χειριστές Ducktail έχουν τον πλήρη έλεγχο των λογαριασμών Facebook Business, μπορούν να αντικαταστήσουν τις οικονομικές πληροφορίες των λογαριασμών με αυτές της ομάδας τους, επιτρέποντάς τους να λαμβάνουν πληρωμές πελατών και πελατών. Αυτό τους δίνει επίσης την ευκαιρία να χρησιμοποιήσουν τα χρήματα που συνδέονται με τους λογαριασμούς για διαφορετικούς σκοπούς.