Nieuwe financieel aangedreven malware richt zich op professionals met toegang tot Facebook Business-account

Er is nieuwe malware verspreid en deze is speciaal gemaakt om Facebook Business-accounts in beslag te nemen. Het belangrijkste is dat het gericht is op personen met toegang tot dergelijke accounts, zoals mensen op het gebied van human resources en digitale marketeers. Hiermee, als u een van hen bent, wilt u misschien extra voorzichtig zijn online, vooral bij het downloaden van bestanden die er verdacht uitzien. (via TechCrunch)

Het bestaan ​​van de malware werd ontdekt door het cyberbeveiligingsbedrijf WithSecure, dat de details van zijn onderzoek al deelde met meta. Genoemd de "Eendenstaart”-campagne, zou de malware in staat zijn om gegevens te stelen van doelen, die worden gekozen op basis van hun LinkedIn-profielinformatie. Om het succes van de operatie verder te verzekeren, zouden de acteurs professionals selecteren met een hoog niveau van toegang tot de Facebook Business-accounts van hun bedrijf.

"Wij zijn van mening dat de Ducktail-operators zorgvuldig een klein aantal doelen selecteren om hun kansen op succes te vergroten en onopgemerkt te blijven", zegt Mohammad Kazem Hassan Nejad, onderzoeker en malware-analist van WithSecure Intelligence. "We hebben waargenomen dat individuen met management-, digitale marketing-, digitale media- en human resources-rollen in bedrijven het doelwit waren."

Volgens WithSecure hebben ze bewijsstukken gevonden waaruit blijkt dat een Vietnamese cybercrimineel sinds 2021 aan de malware werkt en deze verspreidt. Het verklaarde dat het het succes van de operatie of het aantal getroffen gebruikers niet kon vertellen. Bovendien beweren de onderzoekers van WithSecure dat er geen regionaal patroon is waargenomen in de aanvallen, maar dat slachtoffers mogelijk verspreid zijn over verschillende locaties in Europa, het Midden-Oosten, Afrika en Noord-Amerika.

WithSecure legde uit dat na het kiezen van de juiste doelen, de kwaadwillende actor ze zou manipuleren om een ​​cloudbestand te downloaden (bijv. Dropbox en iCloud). Om het bestand overtuigend te maken, zou het zelfs met zakelijke en merkgerelateerde woorden komen. De ware aard van het bestand ligt echter in de gegevensstelende malware die het verbergt.

Door het bestand te installeren, komt de malware vrij die nog steeds de waardevolle gegevens van het doelwit kan behouden, zoals browsercookies, die de acteurs kunnen gebruiken om geverifieerde Facebook-sessies over te nemen. Hiermee kunnen ze de handen van het slachtoffer in handen krijgen Facebook accountgegevens, zoals locatiegegevens en tweefactorauthenticatiecodes. Wat betreft degenen die toegang hebben tot Facebook Business-accounts, acteurs hoeven alleen maar een e-mailadres toe te voegen aan het gekaapte account.

“De ontvanger – in dit geval de dreigingsactor – communiceert vervolgens met de gemailde link om toegang te krijgen tot dat Facebook-bedrijf”, legt Nejad uit. "Dit mechanisme vertegenwoordigt het standaardproces dat wordt gebruikt om individuen toegang te verlenen tot een Facebook-bedrijf en omzeilt dus beveiligingsfuncties die door Meta zijn geïmplementeerd om zich tegen dergelijk misbruik te beschermen."

Tot slot, zodra de Ducktail-operators volledige controle hebben over de Facebook Business-accounts, kunnen ze de financiële informatie van de accounts vervangen door die van hun groep, waardoor ze betalingen van klanten en klanten kunnen ontvangen. Dit geeft hen ook de kans om het geld dat aan de rekeningen is gekoppeld voor verschillende doeleinden te gebruiken.