Laut The Hacker News sind Cyberangriffe auf Meta Business- und Facebook-Konten im letzten Jahr häufiger geworden. Grund dafür sind die Schadsoftware Ducktail und NodeStealer, mit deren Hilfe Unternehmen und Einzelpersonen angegriffen werden, die auf Facebook aktiv sind. Unter den von Cyberkriminellen eingesetzten Methoden spielt Social Engineering eine wichtige Rolle.

Die Kontaktaufnahme mit den Opfern erfolgt über zahlreiche Plattformen, von Facebook und LinkedIn bis hin zu WhatsApp und Jobportalen für Freiberufler. Ein weiterer bekannter Verbreitungsmechanismus ist die Suchmaschinenvergiftung, um Benutzer dazu zu verleiten, gefälschte Versionen von CapCut, Notepad++, ChatGPT, Google Bard und Meta Threads herunterzuladen. Dabei handelt es sich um von Cyberkriminellen erstellte Versionen mit dem Ziel, Schadsoftware auf dem Computer des Opfers zu installieren.

Es kommt häufig vor, dass cyberkriminelle Gruppen URL-Verkürzungsdienste und Telegram für Befehls- und Kontrollzwecke sowie legitime Cloud-Dienste wie Trello, Discord, Dropbox, iCloud, OneDrive und Mediafire zum Hosten von Malware verwenden.

Die Leute hinter Ducktail locken Opfer mit Marketing- und Branding-Plänen, um die Konten von Einzelpersonen und Unternehmen zu kompromittieren, die auf der Geschäftsplattform von Meta aktiv sind. Potenzielle Ziele werden über InMail-Anzeigen auf Facebook oder LinkedIn auf gefälschte Posts auf Upwork und Freelancer umgeleitet, die Links zu schädlichen Dateien enthalten, die als Stellenbeschreibungen getarnt sind.

Forscher bei Zscaler ThreatLabz sagen, dass Ducktail Cookies aus Browsern stiehlt, um Facebook-Geschäftskonten zu kapern. Die Beute dieser Operation (gehackte Social-Media-Konten) wird in die Schattenwirtschaft eingespeist, wo sie je nach Nutzen mit Preisen zwischen 15 und 340 US-Dollar bewertet wird.

In mehreren zwischen Februar und März 2023 beobachteten Infektionsketten wurden Verknüpfungen und PowerShell-Dateien zum Herunterladen und Starten von Malware verwendet, was auf eine kontinuierliche Weiterentwicklung der Taktiken der Angreifer hindeutet.

Diese böswilligen Aktivitäten wurden außerdem aktualisiert, um personenbezogene Daten von Benutzern von X (früher Twitter), TikTok Business und Google Ads zu sammeln, gestohlene Facebook-Cookies zu nutzen, um automatisch betrügerische Anzeigen zu generieren und Berechtigungen für andere böswillige Aktivitäten zu erweitern.

Die Methode, das Konto des Opfers zu übernehmen, besteht darin, die E-Mail-Adresse des Hackers zum Konto hinzuzufügen und dann das Passwort und die E-Mail-Adresse des Opfers zu ändern, um es vom Dienst auszuschließen.

Das Sicherheitsunternehmen WithSecure sagte, dass eine neue Funktion, die seit Juli 2023 in Ducktail-Samples beobachtet wurde, die Verwendung von RestartManager (RM) zum Beenden von Prozessen ist, die die Browserdatenbank sperren. Diese Funktion ist häufig in Ransomware zu finden, da von Prozessen oder Diensten verwendete Dateien nicht verschlüsselt werden können.

Forscher bei Zscaler gaben an, Infektionen auf kompromittierten LinkedIn-Konten von Benutzern entdeckt zu haben, die im digitalen Marketing tätig sind. Einige von ihnen verfügen über mehr als 500 Verbindungen und 1.000 Follower. Dies hat dazu beigetragen, den Prozess des Cybercrime-Betrugs zu erleichtern.

Ducktail gilt als eine von vielen Malware-Varianten, die vietnamesische Cyberkriminelle für betrügerische Zwecke ausnutzen. Es gibt einen Ducktail-Klon namens Duckport, der seit Ende März 2023 Informationsdiebstahl und die Entführung von Meta Business-Konten begeht.

Die Strategie von Cyberkriminellen, die Duckport verwenden, besteht darin, ihre Opfer auf Websites der von ihnen imitierten Marken zu locken und sie dann zum Herunterladen schädlicher Dateien von Dateihosting-Diensten wie Dropbox umzuleiten. Duckport verfügt außerdem über neue Funktionen, die seine Fähigkeit erweitern, Informationen zu stehlen und Konten zu kapern, Screenshots zu machen oder Online-Notizdienste zu missbrauchen, um Telegram zu ersetzen und Befehle an die Rechner der Opfer zu übermitteln.

Forscher sagen, dass es in Vietnam hinsichtlich der Fähigkeiten, der Infrastruktur und der Opfer große Überschneidungen zwischen den Bedrohungen gibt. Dies zeigt eine positive Beziehung zwischen kriminellen Gruppen, gemeinsam genutzten Tools und Taktiken, Techniken usw. Es handelt sich dabei fast um ein Ökosystem, das dem Ransomware-as-a-Service-Modell ähnelt, sich jedoch auf Social-Media-Plattformen wie Facebook konzentriert.