Laut The Hacker News sind Cyberangriffe auf Meta Business- und Facebook-Konten im letzten Jahr häufiger geworden. Grund dafür sind die Schadsoftware Ducktail und NodeStealer, die für Angriffe auf Unternehmen und Einzelpersonen verwendet wird, die auf Facebook aktiv sind. Unter den Methoden, die Cyberkriminelle verwenden, spielt Social Engineering eine wichtige Rolle.
Die Kontaktaufnahme mit den Opfern erfolgt über zahlreiche Plattformen – von Facebook und LinkedIn bis hin zu WhatsApp und Jobportalen für Freiberufler. Ein weiterer bekannter Verbreitungsmechanismus ist die Suchmaschinenvergiftung, um Benutzer zum Herunterladen gefälschter Versionen von CapCut, Notepad++, ChatGPT, Google Bard und Meta Threads zu verleiten. Dabei handelt es sich um Versionen, die von Cyberkriminellen mit dem Ziel erstellt wurden, Malware auf dem Computer des Opfers zu installieren.
Cyberkriminelle Gruppen nutzen häufig URL-Verkürzungsdienste und Telegram für Befehls- und Kontrollzwecke sowie legitime Cloud-Dienste wie Trello, Discord, Dropbox, iCloud, OneDrive und Mediafire, um Malware zu hosten.
Die Leute hinter Ducktail locken Opfer mit Marketing- und Branding-Maschen, um die Konten von Einzelpersonen und Unternehmen zu kompromittieren, die auf der Geschäftsplattform von Meta aktiv sind. Potentielle Ziele werden über InMail-Anzeigen auf Facebook oder LinkedIn auf gefälschte Posts auf Upwork und Freelancer umgeleitet, die Links zu schädlichen Dateien enthalten, die als Stellenbeschreibungen getarnt sind.
Forscher vom Zscaler ThreatLabz sagen, dass Ducktail Cookies aus Browsern stiehlt, um Facebook-Geschäftskonten zu kapern. Die Beute dieser Operation (gehackte Social-Media-Konten) wird in die Schattenwirtschaft eingespeist, wo sie je nach Nützlichkeit zu einem Preis angeboten wird, der normalerweise zwischen 15 und 340 US-Dollar liegt.
In mehreren zwischen Februar und März 2023 beobachteten Infektionsketten wurden Verknüpfungen und PowerShell-Dateien zum Herunterladen und Starten von Malware verwendet, was auf eine kontinuierliche Weiterentwicklung der Taktiken der Angreifer hinweist.
Diese böswilligen Aktivitäten wurden außerdem aktualisiert, um personenbezogene Daten der Benutzer von X (früher Twitter), TikTok Business und Google Ads zu sammeln. Darüber hinaus werden gestohlene Facebook-Cookies genutzt, um automatisch betrügerische Anzeigen zu generieren und Berechtigungen für die Durchführung anderer böswilliger Aktivitäten zu erhöhen.
Die Methode zum Übernehmen des Kontos des Opfers besteht darin, die E-Mail-Adresse des Hackers zum Konto hinzuzufügen und dann das Kennwort und die E-Mail-Adresse des Opfers zu ändern, um es vom Dienst auszuschließen.
Laut dem Sicherheitsunternehmen WithSecure ist in Ducktail-Samples seit Juli 2023 eine neue Funktion zu beobachten: die Verwendung von RestartManager (RM), um Prozesse zu beenden, die die Browserdatenbank sperren. Diese Funktion kommt häufig bei Ransomware vor, da von Prozessen oder Diensten verwendete Dateien nicht verschlüsselt werden können.
Einige gefälschte Anzeigen zielen darauf ab, Opfer dazu zu verleiten, Malware auf ihren Computer herunterzuladen und auszuführen.
Forscher bei Zscaler erklärten, sie hätten Infektionen von kompromittierten LinkedIn-Konten von Benutzern entdeckt, die im digitalen Marketing arbeiten. Einige dieser Benutzer verfügen über mehr als 500 Verbindungen und 1.000 Follower. Dies hat dazu beigetragen, den Prozess des Cybercrime-Betrugs zu erleichtern.
Ducktail gilt als eine von vielen Schadsoftware-Varianten, die von vietnamesischen Cyberkriminellen für ihre betrügerischen Machenschaften ausgenutzt werden. Es gibt einen Ducktail-Klon namens Duckport, der seit Ende März 2023 neben der Entführung von Meta Business-Konten auch Informationsdiebstahl begeht.
Die Strategie von Cyberkriminellen, die Duckport verwenden, besteht darin, ihre Opfer auf Websites der von ihnen imitierten Marken zu locken und sie dann zum Download schädlicher Dateien von Dateihosting-Diensten wie Dropbox umzuleiten. Duckport verfügt außerdem über neue Funktionen, mit denen die Fähigkeit zum Datendiebstahl, zum Kapern von Konten, zum Erstellen von Screenshots und zum Missbrauch von Online-Notizdiensten erweitert werden kann, um Telegram zum Übertragen von Befehlen an die Rechner der Opfer zu ersetzen.
Forschern zufolge gibt es in Vietnam eine große Überschneidung hinsichtlich der Fähigkeiten, der Infrastruktur und der Opfer der Bedrohungen. Dies weist auf eine positive Beziehung zwischen kriminellen Gruppen, gemeinsam genutzten Tools und Taktiken, Techniken usw. hin. Dabei handelt es sich beinahe um ein Ökosystem, das dem Ransomware-as-a-Service-Modell ähnelt, sich jedoch auf Social-Media-Plattformen wie Facebook konzentriert.
[Anzeige_2]
Quellenlink
Kommentar (0)