Nowe, napędzane finansami złośliwe oprogramowanie atakuje profesjonalistów z dostępem do konta biznesowego Facebook

Nowe złośliwe oprogramowanie jest na wolności i zostało stworzone specjalnie w celu przejmowania kont Facebook Business. Co najważniejsze, jest skierowany do osób mających dostęp do takich kont, takich jak osoby zajmujące się zasobami ludzkimi i marketingowcy cyfrowi. Dzięki temu, jeśli jesteś jednym z nich, możesz chcieć zachować szczególną ostrożność w Internecie, zwłaszcza podczas pobierania plików, które wyglądają podejrzanie. (przez TechCrunch)

Istnienie tego szkodliwego oprogramowania zostało wykryte przez firmę zajmującą się cyberbezpieczeństwem WithSecure, która już udostępniła szczegóły swoich badań Meta. Nazwany „ducktail”, mówi się, że złośliwe oprogramowanie jest zdolne do kradzieży danych od celów, które są wybierane na podstawie informacji z ich profilu na LinkedIn. Aby dodatkowo zapewnić sukces operacji, mówi się, że aktorzy wybierają profesjonalistów z wysokim poziomem dostępu do firmowych kont Facebook Business.

„Uważamy, że operatorzy Ducktail starannie wybierają niewielką liczbę celów, aby zwiększyć swoje szanse na sukces i pozostać niezauważonym” – powiedział Mohammad Kazem Hassan Nejad, badacz WithSecure Intelligence i analityk złośliwego oprogramowania. „Zaobserwowaliśmy osoby pełniące funkcje kierownicze, zajmujące się marketingiem cyfrowym, mediami cyfrowymi i zasobami ludzkimi w firmach, które były celem ataków”.

Według WithSecure znaleźli dowody na to, że wietnamski cyberprzestępca pracował nad i rozpowszechniał szkodliwe oprogramowanie od 2021 roku. Stwierdzono, że nie jest w stanie określić sukcesu operacji ani liczby zaatakowanych użytkowników. Ponadto naukowcy z WithSecure twierdzą, że w atakach nie zaobserwowano żadnego regionalnego wzorca, ale ofiary mogły być rozproszone w różnych miejscach w Europie, na Bliskim Wschodzie, w Afryce i Ameryce Północnej.

WithSecure wyjaśnił, że po wybraniu odpowiednich celów złośliwy gracz manipuluje nimi, aby pobrać plik w chmurze (np. Dropbox i iCloud). Aby plik był przekonujący, zawierałby nawet słowa związane z biznesem i marką. Jednak prawdziwa natura pliku leży w ukrywanym przez niego złośliwym oprogramowaniu do kradzieży danych.

Zainstalowanie pliku spowoduje uwolnienie złośliwego oprogramowania, które może nadal przechowywać cenne dane celu, takie jak pliki cookie przeglądarki, które aktorzy mogą wykorzystać do przejęcia uwierzytelnionych sesji Facebooka. Dzięki temu mogą dostać się w ręce ofiary Facebook informacje o koncie, takie jak dane lokalizacji i dwuskładnikowe kody uwierzytelniające. Jeśli chodzi o osoby, które mają dostęp do kont Facebook Business, aktorzy muszą po prostu dodać adres e-mail do przejętego konta.

„Odbiorca — w tym przypadku podmiot zagrażający — wchodzi w interakcję z przesłanym w wiadomości e-mailem linkiem, aby uzyskać dostęp do tej firmy na Facebooku” — wyjaśnia Nejad. „Ten mechanizm reprezentuje standardowy proces używany do przyznawania osobom dostępu do firmy Facebooka, a tym samym omija funkcje bezpieczeństwa wdrożone przez Meta w celu ochrony przed takimi nadużyciami”.

Wreszcie, gdy operatorzy Ducktail uzyskają pełną kontrolę nad kontami biznesowymi Facebooka, mogą zastąpić informacje finansowe kont danymi swojej grupy, umożliwiając im otrzymywanie płatności klientów i klientów. Daje im to również możliwość wykorzystania pieniędzy powiązanych z kontami do różnych celów.