Novo malware direcionado a finanças tem como alvo profissionais com acesso à conta do Facebook Business
3 minutos. ler
Publicado em
Compartilhe este artigo
Melhore este guia
Leia nossa página de divulgação para descobrir como você pode ajudar o MSPoweruser a sustentar a equipe editorial Saiba mais
Novo malware está à solta e foi criado especificamente para capturar contas do Facebook Business. Mais importante ainda, está visando indivíduos com acesso a essas contas, como pessoal de recursos humanos e profissionais de marketing digital. Com isso, se você é um deles, talvez queira ter um cuidado extra online, especialmente ao baixar arquivos que parecem suspeitos. (através da TechCrunch)
A existência do malware foi descoberta pela empresa de segurança cibernética WithSecure, que já compartilhou os detalhes de sua pesquisa com Meta. Chamado de “rabo de pato”, diz-se que o malware é capaz de roubar dados de alvos, que são escolhidos com base nas informações do perfil do LinkedIn. Para garantir ainda mais o sucesso da operação, os atores selecionam profissionais com alto nível de acesso às contas do Facebook Business de sua empresa.
“Acreditamos que os operadores do Ducktail selecionam cuidadosamente um pequeno número de alvos para aumentar suas chances de sucesso e permanecer despercebidos”, disse o pesquisador e analista de malware da WithSecure Intelligence, Mohammad Kazem Hassan Nejad. “Observamos indivíduos com funções gerenciais, de marketing digital, mídia digital e recursos humanos em empresas como alvos.”
De acordo com o WithSecure, eles encontraram evidências mostrando um cibercriminoso vietnamita trabalhando e distribuindo o malware desde 2021. Ele afirmou que não poderia dizer o sucesso da operação ou o número de usuários afetados. Além disso, os pesquisadores da WithSecure afirmam que nenhum padrão regional foi observado nos ataques, mas as vítimas podem estar espalhadas em vários locais da Europa, Oriente Médio, África e América do Norte.
WithSecure explicou que, depois de escolher os alvos certos, o agente malicioso os manipularia para baixar um arquivo na nuvem (por exemplo, Dropbox e iCloud). Para tornar o arquivo convincente, ele ainda viria com palavras relacionadas a negócios e marcas. No entanto, a verdadeira natureza do arquivo está no malware de roubo de dados que ele está escondendo.
A instalação do arquivo liberará o malware que ainda pode armazenar dados valiosos do alvo, como cookies do navegador, que os atores podem usar para assumir sessões autenticadas do Facebook. Com isso, eles podem colocar as mãos na vítima Facebook informações da conta, como dados de localização e códigos de autenticação de dois fatores. Quanto àqueles que têm acesso às contas do Facebook Business, os atores simplesmente precisam adicionar um endereço de e-mail à conta invadida.
“O destinatário – neste caso, o agente da ameaça – interage com o link enviado por e-mail para obter acesso a esse Facebook Business”, explica Nejad. “Esse mecanismo representa o processo padrão usado para conceder aos indivíduos acesso a um Facebook Business e, portanto, contorna os recursos de segurança implementados pela Meta para proteger contra tal abuso”.
Por fim, uma vez que os operadores do Ducktail tenham controle total sobre as contas do Facebook Business, eles podem substituir as informações financeiras das contas pelas de seu grupo, permitindo que eles recebam pagamentos de clientes e clientes. Isso também lhes dá a chance de usar o dinheiro vinculado às contas para diferentes propósitos.
