Phần mềm độc hại mới nhằm vào mục tiêu tài chính nhắm mục tiêu các chuyên gia có quyền truy cập tài khoản Facebook Business

Phần mềm độc hại mới đang được tung ra và nó được tạo ra đặc biệt để chiếm tài khoản Facebook Business. Quan trọng nhất, nó đang nhắm mục tiêu các cá nhân có quyền truy cập vào các tài khoản như vậy, chẳng hạn như nhân viên nguồn nhân lực và nhà tiếp thị kỹ thuật số. Với điều này, nếu bạn là một trong số họ, bạn có thể muốn cẩn thận hơn khi trực tuyến, đặc biệt là khi tải xuống các tệp có vẻ đáng ngờ. (thông qua TechCrunch)

Sự tồn tại của phần mềm độc hại được phát hiện bởi doanh nghiệp an ninh mạng WithSecure, công ty đã chia sẻ chi tiết nghiên cứu của mình với Siêu dữ liệu. Đặt tên là “Đuôi vịt”, Phần mềm độc hại được cho là có khả năng đánh cắp dữ liệu từ các mục tiêu, những người được chọn dựa trên thông tin hồ sơ LinkedIn của họ. Để đảm bảo hơn nữa sự thành công của hoạt động, các diễn viên được cho là chọn các chuyên gia có mức độ truy cập cao vào tài khoản Facebook Business của công ty họ.

Mohammad Kazem Hassan Nejad, nhà nghiên cứu của WithSecure Intelligence và nhà phân tích phần mềm độc hại Mohammad Kazem Hassan Nejad cho biết: “Chúng tôi tin rằng các nhà khai thác Ducktail lựa chọn cẩn thận một số lượng nhỏ mục tiêu để tăng cơ hội thành công và không bị chú ý. “Chúng tôi đã quan sát thấy các cá nhân có vai trò quản lý, tiếp thị kỹ thuật số, truyền thông kỹ thuật số và nguồn nhân lực trong các công ty đã được nhắm mục tiêu.”

Theo WithSecure, họ đã tìm thấy các mảnh bằng chứng cho thấy tội phạm mạng Việt Nam đang hoạt động và phát tán phần mềm độc hại từ năm 2021. Nó tuyên bố rằng nó không thể cho biết thành công của hoạt động hoặc số lượng người dùng bị ảnh hưởng. Ngoài ra, các nhà nghiên cứu tại WithSecure tuyên bố rằng không có mô hình khu vực nào được quan sát thấy trong các cuộc tấn công, nhưng các nạn nhân có thể rải rác ở nhiều địa điểm khác nhau ở châu Âu, Trung Đông, châu Phi và Bắc Mỹ.

WithSecure giải thích rằng sau khi chọn đúng mục tiêu, kẻ độc hại sẽ thao túng chúng để tải xuống tệp đám mây (ví dụ: Dropbox và iCloud). Để làm cho hồ sơ thuyết phục, nó thậm chí sẽ đi kèm với các từ liên quan đến kinh doanh và thương hiệu. Tuy nhiên, bản chất thực sự của tệp nằm trong phần mềm độc hại đánh cắp dữ liệu mà nó đang ẩn.

Việc cài đặt tệp sẽ giải phóng phần mềm độc hại vẫn có thể là dữ liệu có giá trị của mục tiêu như cookie trình duyệt, mà các tác nhân có thể sử dụng để tiếp quản các phiên Facebook đã xác thực. Với điều này, họ có thể chạm tay vào nạn nhân Facebook thông tin tài khoản, chẳng hạn như dữ liệu vị trí và mã xác thực hai yếu tố. Đối với những người có quyền truy cập vào tài khoản Facebook Business, các diễn viên chỉ cần thêm một địa chỉ email vào tài khoản bị tấn công.

“Người nhận - trong trường hợp này là tác nhân đe dọa - sau đó tương tác với liên kết được gửi qua email để có quyền truy cập vào Facebook Business đó,” Nejad giải thích. “Cơ chế này đại diện cho quy trình tiêu chuẩn được sử dụng để cấp cho các cá nhân quyền truy cập vào Doanh nghiệp Facebook và do đó loại bỏ các tính năng bảo mật do Meta triển khai để bảo vệ chống lại sự lạm dụng đó.”

Cuối cùng, khi các nhà điều hành Ducktail có toàn quyền kiểm soát các tài khoản Facebook Business, họ có thể thay thế thông tin tài chính của tài khoản bằng thông tin tài khoản của nhóm, cho phép họ nhận các khoản thanh toán của khách hàng và khách hàng. Điều này cũng mang lại cho họ cơ hội sử dụng tiền được liên kết với các tài khoản cho các mục đích khác nhau.