Нове зловмисне програмне забезпечення, спрямоване на фінансування, спрямоване на професіоналів із доступом до облікового запису Facebook Business

Нове зловмисне програмне забезпечення на свободі, і воно спеціально створене для захоплення облікових записів Facebook Business. Найважливіше те, що він націлений на людей, які мають доступ до таких облікових записів, наприклад на спеціалістів із відділу кадрів і цифрових маркетологів. З огляду на це, якщо ви один із них, ви можете бути особливо обережними в Інтернеті, особливо під час завантаження файлів, які виглядають підозрілими. (через TechCrunch)

Існування шкідливого програмного забезпечення було виявлено компанією з кібербезпеки WithSecure, яка вже поділилася деталями свого дослідження з Meta. Названий "Качиний хвіст», кажуть, що зловмисне програмне забезпечення здатне викрадати дані цілей, які вибираються на основі інформації про їхній профіль LinkedIn. Зазначається, що для подальшого забезпечення успіху операції учасники обрали професіоналів із високим рівнем доступу до облікових записів Facebook Business своєї компанії.

«Ми вважаємо, що оператори Ducktail ретельно відбирають невелику кількість цілей, щоб підвищити їхні шанси на успіх і залишитися непоміченими», — сказав дослідник WithSecure Intelligence та аналітик зловмисного програмного забезпечення Мохаммад Казем Хассан Неджад. «Ми спостерігали за особами, які займають керівні посади, посади в цифровому маркетингу, цифрових медіа та кадрових ресурсах у компаніях.

За словами WithSecure, вони знайшли докази, які свідчать про те, що в’єтнамський кіберзлочинець працює над зловмисним програмним забезпеченням і розповсюджує його з 2021 року. Вони заявили, що не можуть визначити успіх операції чи кількість постраждалих користувачів. Крім того, дослідники з WithSecure стверджують, що в атаках не спостерігалося жодної регіональної моделі, але жертви могли бути розкидані в різних місцях Європи, Близького Сходу, Африки та Північної Америки.

WithSecure пояснив, що після вибору правильних цілей зловмисник маніпулює ними, щоб завантажити хмарний файл (наприклад, Dropbox та iCloud). Щоб зробити файл переконливим, у ньому навіть будуть слова, пов’язані з бізнесом і брендом. Однак справжня природа файлу полягає в зловмисному програмному забезпеченні для крадіжки даних, яке він приховує.

Встановлення файлу вивільнить зловмисне програмне забезпечення, яке все ще може отримати цінні дані цілі, такі як файли cookie браузера, які актори можуть використовувати, щоб перехопити автентифіковані сеанси Facebook. Завдяки цьому вони можуть потрапити в руки жертви Facebook дані облікового запису, такі як дані про місцезнаходження та коди двофакторної автентифікації. Що стосується тих, хто має доступ до облікових записів Facebook Business, акторам просто потрібно додати адресу електронної пошти до викрадених облікових записів.

«Одержувач — у цьому випадку суб’єкт загрози — потім взаємодіє з надісланим електронною поштою посиланням, щоб отримати доступ до цього Facebook Business», — пояснює Неджад. «Цей механізм являє собою стандартний процес, який використовується для надання окремим особам доступу до бізнесу Facebook, і таким чином обходить функції безпеки, реалізовані Meta для захисту від таких зловживань».

Нарешті, як тільки оператори Ducktail отримають повний контроль над обліковими записами Facebook Business, вони можуть замінити фінансову інформацію облікових записів інформацією своєї групи, дозволяючи їм отримувати платежі клієнтів і клієнтів. Це також дає їм можливість використовувати гроші, пов’язані з рахунками, для різних цілей.