Ny økonomisk drevet skadelig programvare retter seg mot fagfolk med tilgang til Facebook Business-kontoer

Ny malware er på frifot, og den er spesielt laget for å beslaglegge Facebook Business-kontoer. Det viktigste er at det retter seg mot personer med tilgang til slike kontoer, for eksempel menneskelige ressurser og digitale markedsførere. Med dette, hvis du er en av dem, vil du kanskje være ekstra forsiktig på nettet, spesielt når du laster ned filer som ser mistenkelige ut. (via TechCrunch)

Eksistensen av skadelig programvare ble oppdaget av cybersikkerhetsvirksomheten WithSecure, som allerede delte detaljene om sin forskning med Meta. kalt "Andehale”-kampanjen, sies at skadevare er i stand til å stjele data fra mål, som er valgt basert på LinkedIn-profilinformasjonen deres. For ytterligere å sikre operasjonens suksess, sies aktørene å velge ut fagfolk med høy tilgang til selskapets Facebook Business-kontoer.

"Vi tror at Ducktail-operatørene nøye velger et lite antall mål for å øke sjansene deres for å lykkes og forbli ubemerket," sa WithSecure Intelligence-forsker og malware-analytiker Mohammad Kazem Hassan Nejad. "Vi har observert at personer med lederroller, digital markedsføring, digitale medier og menneskelige ressurser i selskaper har blitt målrettet."

I følge WithSecure har de funnet bevis som viser en vietnamesisk nettkriminell som jobber med og distribuerer skadevaren siden 2021. Den uttalte at den ikke kunne fortelle om operasjonens suksess eller antall brukere som ble berørt. I tillegg hevder forskerne ved WithSecure at det ikke er observert noe regionalt mønster i angrepene, men ofre kan være spredt på forskjellige steder i Europa, Midtøsten, Afrika og Nord-Amerika.

WithSecure forklarte at etter å ha valgt de riktige målene, ville den ondsinnede aktøren manipulere dem til å laste ned en skyfil (f.eks. Dropbox og iCloud). For å gjøre filen overbevisende, ville den til og med komme med forretnings- og merkerelaterte ord. Imidlertid ligger filens sanne natur i den data-stjele malware den skjuler.

Installering av filen vil frigjøre skadelig programvare som fortsatt kan brukes til målets verdifulle data som nettleserinformasjonskapsler, som aktørene kan bruke til å overta autentiserte Facebook-økter. Med dette kan de få tak i offerets Facebook kontoinformasjon, for eksempel stedsdata og tofaktorautentiseringskoder. Når det gjelder de som har tilgang til Facebook Business-kontoer, trenger aktører ganske enkelt å legge til en e-postadresse til den kaprede kontoen.

"Mottakeren - i dette tilfellet trusselaktøren - samhandler deretter med e-postlenken for å få tilgang til den Facebook-bedriften," forklarer Nejad. "Denne mekanismen representerer standardprosessen som brukes til å gi enkeltpersoner tilgang til en Facebook-bedrift, og omgår dermed sikkerhetsfunksjoner implementert av Meta for å beskytte mot slikt misbruk."

Til slutt, når Ducktail-operatørene har full kontroll over Facebook Business-kontoene, kan de erstatte kontoenes økonomiske informasjon med gruppens, slik at de kan motta kunders og kunders betalinger. Dette gir dem også muligheten til å bruke pengene knyttet til kontoene til ulike formål.