Theo The Hacker News, các cuộc tấn công mạng nhắm vào tài khoản Meta Business và Facebook đã trở nên phổ biến trong năm qua nhờ các malware Ducktail và NodeStealer, được sử dụng để tấn công các doanh nghiệp và cá nhân hoạt động trên Facebook. Trong số các phương pháp được tội phạm mạng sử dụng, kỹ thuật lừa đảo xã hội đóng một vai trò quan trọng.
Các nạn nhân được tiếp cận thông qua nhiều nền tảng, từ Facebook, LinkedIn đến WhatsApp và các cổng việc làm tự do. Một cơ chế phân phối khác được biết đến là đầu độc công cụ tìm kiếm để dụ dỗ người dùng tải về các phần mềm giả mạo của CapCut, Notepad++, ChatGPT, Google Bard và Meta Threads… Đây là những phiên bản do tội phạm mạng tạo ra nhằm mục đích cài cắm malware vào máy nạn nhân.
Điểm phổ biến đối với các nhóm tội phạm mạng là sử dụng các dịch vụ rút gọn URL và Telegram để ra lệnh và kiểm soát, dùng dịch vụ đám mây hợp pháp như Trello, Discord, Dropbox, iCloud, OneDrive và Mediafire để lưu trữ phần mềm độc hại.
Những kẻ đứng đằng sau Ducktail dụ dỗ nạn nhân bằng các dự án tiếp thị và thương hiệu để xâm nhập tài khoản của các cá nhân và doanh nghiệp hoạt động trên nền tảng kinh doanh của Meta. Các mục tiêu tiềm năng được hướng đến các bài đăng giả mạo trên Upwork và Freelancer thông qua quảng cáo Facebook hoặc LinkedIn InMail, trong đó chứa liên kết đến tập tin độc hại được ngụy trang là mô tả công việc.
Những nhà nghiên cứu của Zscaler ThreatLabz cho biết Ducktail đánh cắp các cookie từ trình duyệt để chiếm đoạt các tài khoản doanh nghiệp trên Facebook. Các chiến lợi phẩm của hoạt động này (tài khoản mạng xã hội bị tấn công) được cung cấp cho nền kinh tế ngầm, nơi chúng được định giá tùy theo tính hữu ích, thông thường có giá từ 15 đến 340 USD.
Một số chuỗi lây nhiễm được quan sát từ tháng 2 đến tháng 3.2023 có liên quan đến việc sử dụng lối tắt và tập tin PowerShell để tải xuống và khởi chạy phần mềm độc hại, cho thấy sự phát triển liên tục trong chiến thuật của những kẻ tấn công.
Những hoạt động độc hại này cũng được cập nhật để thu thập thông tin cá nhân của người dùng từ X (trước đây là Twitter), TikTok Business và Google Ads, cũng như tận dụng cookie Facebook bị đánh cắp để tạo quảng cáo lừa đảo theo cách tự động và nâng cao đặc quyền để thực hiện các hoạt động độc hại khác.
Phương pháp được sử dụng để chiếm đoạt tài khoản của nạn nhân là thêm địa chỉ email của hacker vào tài khoản, kế đến thay đổi mật khẩu và địa chỉ email của nạn nhân để khóa họ khỏi dịch vụ.
Hãng bảo mật WithSecure cho biết tính năng mới được quan sát thấy trong các mẫu Ducktail kể từ tháng 7.2023 là sử dụng RestartManager (RM) để diệt các tiến trình khóa cơ sở dữ liệu trình duyệt. Tính năng này thường được tìm thấy trong ransomware, vì tập tin khi được các tiến trình hoặc dịch vụ sử dụng sẽ không thể mã hóa.
Một số mẫu quảng cáo giả mạo nhằm dụ nạn nhân tải và thực thi mã độc trên máy
Các nhà nghiên cứu tại Zscaler cho biết đã phát hiện ra các trường hợp lây nhiễm từ các tài khoản LinkedIn bị xâm nhập thuộc về người dùng làm việc trong lĩnh vực tiếp thị số, một số có hơn 500 kết nối và 1.000 người theo dõi. Điều này đã giúp tạo điều kiện thuận lợi cho quá trình lừa đảo của tội phạm mạng.
Ducktail được cho là một trong nhiều dòng malware mà các tội phạm mạng Việt Nam đang tận dụng để thực hiện các âm mưu lừa đảo. Có một bản sao Ducktail là Duckport, thực hiện hành vi đánh cắp thông tin cùng với việc chiếm đoạt tài khoản Meta Business từ cuối tháng 3.2023.
Chiến lược của nhóm tội phạm mạng sử dụng Duckport là gửi dụ nạn nhân đến các trang web có liên quan đến thương hiệu mà chúng mạo danh, sau đó chuyển hướng tải xuống tập tin độc hại từ các dịch vụ lưu trữ tập tin như Dropbox. Duckport cũng có các tính năng mới, mở rộng khả năng đánh cắp thông tin và chiếm đoạt tài khoản, chụp ảnh màn hình hoặc lạm dụng các dịch vụ ghi chú trực tuyến để thay thế Telegram nhằm truyền lệnh đến máy của nạn nhân.
Các nhà nghiên cứu cho rằng những mối đe dọa tại Việt Nam có mức độ chồng chéo cao về năng lực, cơ sở hạ tầng và nạn nhân. Điều này cho thấy mối quan hệ tích cực giữa các nhóm tội phạm, công cụ dùng chung và chiến thuật, kỹ thuật… Đây gần như là một hệ sinh thái tương tự như mô hình ransomware-as-a-service nhưng tập trung vào nền tảng truyền thông xã hội như Facebook.
