Hacker Newsによると、Meta Business や Facebook アカウントを狙ったサイバー攻撃は、Facebook で活動する企業や個人を攻撃するために使用される Ducktail や NodeStealer マルウェアのせいで、過去 1 年間でより一般的になっているという。サイバー犯罪者が使用する手法の中で、ソーシャル エンジニアリングが重要な役割を果たします。

被害者は、Facebook、LinkedIn、WhatsApp、フリーランス求人ポータルなど、さまざまなプラットフォームを通じてアプローチを受けます。もう一つの既知の配布メカニズムは、検索エンジンポイズニングです。これは、ユーザーを誘導して CapCut、Notepad++、ChatGPT、Google Bard、Meta Threads の偽バージョンをダウンロードさせるものです。これらは、被害者のコンピューターにマルウェアをインストールすることを目的としてサイバー犯罪者によって作成されたバージョンです。

サイバー犯罪グループがコマンドアンドコントロールに URL 短縮サービスや Telegram を使用し、マルウェアをホストするために Trello、Discord、Dropbox、iCloud、OneDrive、Mediafire などの正規のクラウド サービスを使用するのは一般的です。

Ducktail の背後にいる人物は、マーケティングやブランディングの計画で被害者を誘い込み、Meta のビジネス プラットフォームで活動している個人や企業のアカウントを侵害します。潜在的なターゲットは、Facebook または LinkedIn の InMail 広告を通じて Upwork や Freelancer の偽の投稿に誘導されます。これらの投稿には、仕事の説明を装った悪意のあるファイルへのリンクが含まれています。

Zscaler ThreatLabz の研究者によると、Ducktail はブラウザから Cookie を盗み、Facebook のビジネス アカウントを乗っ取るとのことです。この作戦の戦利品（ハッキングされたソーシャルメディアのアカウント）は地下経済に流入し、その有用性に応じて通常15ドルから340ドルの範囲で価格が付けられる。

2023 年 2 月から 3 月にかけて確認された複数の感染チェーンでは、ショートカットや PowerShell ファイルを使用してマルウェアをダウンロードして起動しており、攻撃者の戦術が継続的に進化していることを示しています。

これらの悪意のある活動は、X（旧Twitter）、TikTok Business、Google Adsからユーザーの個人情報を収集するほか、盗まれたFacebook Cookieを活用して不正な広告を自動的に生成し、権限を昇格させてその他の悪意のある活動を実行するようにも更新されました。

被害者のアカウントを乗っ取るために使用される方法は、ハッカーの電子メールアドレスをアカウントに追加し、被害者のパスワードと電子メールアドレスを変更してサービスから締め出すことです。

セキュリティ企業WithSecureは、2023年7月以降にDucktailのサンプルで確認された新しい機能は、ブラウザデータベースをロックするプロセスを強制終了するためにRestartManager（RM）を使用することだと述べた。プロセスやサービスによって使用されるファイルは暗号化できないため、この機能はランサムウェアによく見られます。

ゼットスケーラーの研究者らは、デジタルマーケティングに携わるユーザーの侵害されたLinkedInアカウントから感染を発見したと述べ、中には500以上のつながりと1,000人以上のフォロワーを持つアカウントもあったという。これにより、サイバー犯罪詐欺のプロセスが促進されました。

Ducktailは、ベトナムのサイバー犯罪者が詐欺行為を実行するために悪用している多くのマルウェアの一種であると言われています。 DucktailのクローンであるDuckportがあり、2023年3月下旬からMeta Businessアカウントの乗っ取りとともに情報窃盗を行っています。

Duckport を使用するサイバー犯罪者の戦略は、なりすましのブランドに関連する Web サイトに被害者を誘導し、Dropbox などのファイル ホスティング サービスから悪意のあるファイルをダウンロードするようにリダイレクトすることです。 Duckport には新たな機能も追加され、情報の盗難やアカウントの乗っ取り、スクリーンショットの撮影、オンラインメモサービスを悪用して Telegram に代わるコマンドを被害者のマシンに送信する能力が拡張されている。

研究者らは、ベトナムの脅威は能力、インフラ、被害者の点でかなり重複していると述べている。これは、犯罪グループ、共有ツール、戦術、テクニックの間に正の相関関係があることを示しています。これは、ランサムウェア・アズ・ア・サービス モデルに似たエコシステムですが、Facebook などのソーシャル メディア プラットフォームに重点を置いています。