Новое финансово-ориентированное вредоносное ПО нацелено на профессионалов с доступом к бизнес-аккаунту Facebook

На свободе появилось новое вредоносное ПО, специально созданное для захвата учетных записей Facebook Business. Самое главное, он нацелен на людей, имеющих доступ к таким учетным записям, таких как специалисты по кадрам и цифровые маркетологи. При этом, если вы один из них, вы можете быть особенно осторожны в Интернете, особенно при загрузке файлов, которые выглядят подозрительно. (с помощью TechCrunch)

Существование вредоносного ПО было обнаружено компанией WithSecure, занимающейся кибербезопасностью, которая уже поделилась подробностями своего исследования с Мета. Названный «Утиный хвост», говорится, что вредоносное ПО способно красть данные у целей, которые выбираются на основе информации их профиля в LinkedIn. Говорят, что для дальнейшего обеспечения успеха операции участники выбирают профессионалов с высоким уровнем доступа к бизнес-аккаунтам своей компании в Facebook.

«Мы считаем, что операторы Ducktail тщательно выбирают небольшое количество целей, чтобы увеличить свои шансы на успех и остаться незамеченными», — сказал исследователь WithSecure Intelligence и аналитик вредоносных программ Мохаммад Казем Хассан Неджад. «Мы наблюдали, как люди, занимающие управленческие должности, должности в области цифрового маркетинга, цифровых медиа и кадровых ресурсов в компаниях, стали мишенью».

По данным WithSecure, они обнаружили доказательства, свидетельствующие о том, что вьетнамский киберпреступник работал над вредоносным ПО и распространял его с 2021 года. Компания заявила, что не может сказать об успехе операции или количестве пострадавших пользователей. Кроме того, исследователи из WithSecure утверждают, что в атаках не наблюдается региональной закономерности, а жертвы могут быть разбросаны по разным локациям в Европе, на Ближнем Востоке, в Африке и Северной Америке.

WithSecure объяснила, что после выбора правильных целей злоумышленник будет манипулировать ими, чтобы загрузить облачный файл (например, Dropbox и iCloud). Чтобы сделать файл убедительным, в нем даже должны быть слова, связанные с бизнесом и брендом. Однако истинная природа файла заключается в скрытом вредоносном ПО для кражи данных.

Установка файла выпустит вредоносное ПО, которое может по-прежнему использовать ценные данные цели, такие как файлы cookie браузера, которые злоумышленники могут использовать для захвата аутентифицированных сеансов Facebook. При этом они могут заполучить жертву. что его цель информация об учетной записи, например данные о местоположении и коды двухфакторной аутентификации. Что касается тех, у кого есть доступ к учетным записям Facebook Business, злоумышленникам просто нужно добавить адрес электронной почты во взломанную учетную запись.

«Получатель — в данном случае субъект угрозы — затем взаимодействует со ссылкой, отправленной по электронной почте, чтобы получить доступ к этому Facebook Business», — объясняет Неджад. «Этот механизм представляет собой стандартный процесс, используемый для предоставления отдельным лицам доступа к Facebook Business, и, таким образом, обходит функции безопасности, реализованные Meta для защиты от таких злоупотреблений».

Наконец, как только операторы Ducktail получают полный контроль над учетными записями Facebook Business, они могут заменить финансовую информацию учетных записей информацией своей группы, что позволит им получать платежи клиентов и клиентов. Это также дает им возможность использовать деньги, привязанные к счетам, для различных целей.