Un nouveau logiciel malveillant à visée financière cible les professionnels ayant accès à un compte Facebook Business

De nouveaux logiciels malveillants sont en liberté, et ils sont spécifiquement créés pour saisir les comptes Facebook Business. Plus important encore, il cible les personnes ayant accès à de tels comptes, telles que les ressources humaines et les spécialistes du marketing numérique. Avec cela, si vous êtes l'un d'entre eux, vous voudrez peut-être redoubler de prudence en ligne, en particulier lors du téléchargement de fichiers qui semblent suspects. (passant par TechCrunch)

L'existence du malware a été découverte par l'entreprise de cybersécurité WithSecure, qui a déjà partagé les détails de ses recherches avec Meta. Nommé le "ducktail», le logiciel malveillant serait capable de voler des données à des cibles, qui sont choisies en fonction de leurs informations de profil LinkedIn. Pour assurer davantage le succès de l'opération, les acteurs sélectionneraient des professionnels disposant d'un haut niveau d'accès aux comptes Facebook Business de leur entreprise.

"Nous pensons que les opérateurs Ducktail sélectionnent avec soin un petit nombre de cibles pour augmenter leurs chances de succès et rester inaperçus", a déclaré Mohammad Kazem Hassan Nejad, chercheur chez WithSecure Intelligence et analyste des logiciels malveillants. "Nous avons observé que des personnes occupant des postes de direction, de marketing numérique, de médias numériques et de ressources humaines dans des entreprises avaient été ciblées."

Selon WithSecure, ils ont trouvé des éléments de preuve montrant qu'un cybercriminel vietnamien travaillait et distribuait le malware depuis 2021. Il a déclaré qu'il ne pouvait pas dire le succès de l'opération ou le nombre d'utilisateurs touchés. De plus, les chercheurs de WithSecure affirment qu'aucun modèle régional n'a été observé dans les attaques, mais que les victimes pourraient être dispersées dans divers endroits en Europe, au Moyen-Orient, en Afrique et en Amérique du Nord.

WithSecure a expliqué qu'après avoir choisi les bonnes cibles, l'acteur malveillant les manipulait pour télécharger un fichier cloud (par exemple, Dropbox et iCloud). Pour rendre le fichier convaincant, il viendrait même avec des mots liés à l'entreprise et à la marque. Cependant, la véritable nature du fichier réside dans le malware voleur de données qu'il cache.

L'installation du fichier libérera le logiciel malveillant qui peut toujours conserver les précieuses données de la cible, telles que les cookies du navigateur, que les acteurs peuvent utiliser pour prendre en charge les sessions Facebook authentifiées. Avec cela, ils peuvent mettre la main sur la victime Facebook informations de compte, telles que les données de localisation et les codes d'authentification à deux facteurs. Quant à ceux qui ont accès aux comptes Facebook Business, les acteurs doivent simplement ajouter une adresse e-mail au compte piraté.

"Le destinataire - dans ce cas, l'auteur de la menace - interagit ensuite avec le lien envoyé par e-mail pour accéder à cette entreprise Facebook", explique Nejad. "Ce mécanisme représente le processus standard utilisé pour accorder aux individus l'accès à une entreprise Facebook, et contourne ainsi les fonctionnalités de sécurité mises en œuvre par Meta pour se protéger contre de tels abus."

Enfin, une fois que les opérateurs Ducktail ont le contrôle total sur les comptes Facebook Business, ils peuvent remplacer les informations financières des comptes par celles de leur groupe, leur permettant de recevoir les paiements des clients et des clients. Cela leur donne également la possibilité d'utiliser l'argent lié aux comptes à des fins différentes.