새로운 재정 기반 악성코드는 Facebook 비즈니스 계정 액세스 권한이 있는 전문가를 대상으로 합니다.

새로운 맬웨어가 유포되고 있으며 특별히 Facebook Business 계정을 탈취하기 위해 만들어졌습니다. 가장 중요한 것은 인사 담당자 및 디지털 마케터와 같이 이러한 계정에 액세스할 수 있는 개인을 대상으로 한다는 것입니다. 이것으로, 당신이 그들 중 하나라면, 특히 의심스러워 보이는 파일을 다운로드할 때 온라인에서 각별한 주의가 필요할 수 있습니다. (을 통해 테크 크런치)

악성코드의 존재는 사이버 보안 사업인 WithSecure에 의해 발견되었으며, 이미 연구 내용을 메타. "라는 이름의오리 꼬리” 캠페인에서 악성코드는 LinkedIn 프로필 정보를 기반으로 선택된 대상의 데이터를 훔칠 수 있다고 합니다. 작업의 성공을 더욱 보장하기 위해 배우들은 회사의 Facebook 비즈니스 계정에 대한 높은 수준의 액세스 권한을 가진 전문가를 선택한다고 합니다.

WithSecure Intelligence 연구원이자 악성 코드 분석가인 Mohammad Kazem Hassan Nejad는 "Ducktail 운영자는 성공 가능성을 높이고 눈에 띄지 않게 소수의 표적을 신중하게 선택한다고 믿습니다. "우리는 기업에서 관리, 디지털 마케팅, 디지털 미디어 및 인적 자원 역할을 맡은 개인이 표적이 되는 것을 관찰했습니다."

WithSecure에 따르면 베트남 사이버 범죄자가 2021년부터 맬웨어를 작업하고 배포하는 것을 보여주는 증거 조각을 발견했습니다. 작업의 성공이나 영향을 받는 사용자 수를 말할 수 없다고 밝혔습니다. 또한 WithSecure의 연구원은 공격에서 지역 패턴이 관찰되지 않았지만 희생자가 유럽, 중동, 아프리카 및 북미의 다양한 위치에 흩어져 있을 수 있다고 주장합니다.

WithSecure는 올바른 대상을 선택한 후 악의적인 행위자가 이를 조작하여 클라우드 파일(예: Dropbox 및 iCloud)을 다운로드한다고 설명했습니다. 파일을 설득력 있게 만들기 위해 비즈니스 및 브랜드 관련 단어도 함께 제공됩니다. 그러나 파일의 진정한 본질은 파일이 숨기고 있는 데이터 도용 멀웨어에 있습니다.

파일을 설치하면 공격자가 인증된 Facebook 세션을 인수하는 데 사용할 수 있는 브라우저 쿠키와 같은 대상의 중요한 데이터를 계속 사용할 수 있는 멀웨어가 릴리스됩니다. 이를 통해 피해자의 손을 잡을 수 있습니다. 페이스북 위치 데이터 및 이중 인증 코드와 같은 계정 정보. Facebook 비즈니스 계정에 액세스할 수 있는 사용자의 경우 공격자는 하이재킹된 계정에 이메일 주소를 추가하기만 하면 됩니다.

Nejad는 "수신자(이 경우 위협 행위자)는 이메일 링크와 상호 작용하여 해당 Facebook 비즈니스에 액세스할 수 있습니다."라고 설명합니다. "이 메커니즘은 개인에게 Facebook 비즈니스에 대한 액세스 권한을 부여하는 데 사용되는 표준 프로세스를 나타내며, 따라서 이러한 남용으로부터 보호하기 위해 Meta에서 구현한 보안 기능을 우회합니다."

마지막으로 Ducktail 운영자가 Facebook 비즈니스 계정을 완전히 제어하면 계정의 재무 정보를 그룹의 재무 정보로 대체하여 고객과 고객의 지불금을 받을 수 있습니다. 이것은 또한 다른 목적을 위해 계정에 연결된 돈을 사용할 수 있는 기회를 제공합니다.