Facebook işletme ve reklam hesapları, dublajlı devam eden bir kampanyanın alıcı ucunda Ördek kuyruğu finansal olarak yönlendirilen bir siber suç operasyonunun parçası olarak kontrolü ele geçirmek için tasarlanmıştır.
Fin siber güvenlik şirketi WithSecure (eski adıyla F-Secure Business) “Tehdit aktörü, bilgi hırsızı kötü amaçlı yazılımla bir Facebook Business hesabına erişimi olabilecek bireyleri ve çalışanları hedef alıyor” söz konusu yeni bir raporda.
“Kötü amaçlı yazılım, tarayıcı tanımlama bilgilerini çalmak ve kurbanın Facebook hesabından bilgi çalmak için kimliği doğrulanmış Facebook oturumlarından yararlanmak ve nihayetinde kurbanın yeterli erişime sahip olduğu herhangi bir Facebook İşletme hesabını ele geçirmek için tasarlanmıştır.”
Vietnamlı bir tehdit aktörüne atfedilen saldırıların, 2021’in ikinci yarısında başladığı ve birincil hedeflerin şirketlerde yönetim, dijital pazarlama, dijital medya ve insan kaynakları rollerine sahip kişiler olduğu söyleniyor.
Buradaki fikir, kuruluşlarıyla ilişkili Facebook Business hesaplarına üst düzey erişimi olan çalışanları hedefleyerek onları Dropbox, Apple iCloud ve MediaFire’da barındırılan Facebook reklam bilgilerini indirmeleri için kandırmaktır.
Bazı durumlarda, kötü amaçlı yükü içeren arşiv dosyası da LinkedIn aracılığıyla kurbanlara iletilir ve sonuçta saldırganın herhangi bir Facebook Business hesabını ele geçirmesine olanak tanır.
.NET Core’da yazılmış, bilgi çalan bir kötü amaçlı yazılım olan ikili, komut ve kontrol ve veri hırsızlığı için Telegram’ı kullanmak üzere tasarlanmıştır. WithSecure, bu amaç için kullanılan sekiz Telegram kanalı belirlediğini söyledi.
Saklanan tüm çerezleri ve erişim belirteçlerini çıkarmak için Google Chrome, Microsoft Edge, Brave Browser ve Mozilla Firefox gibi yüklü tarayıcıları tarayarak ve kurbanın ad, e-posta adresi, doğum tarihi gibi kişisel Facebook hesabından bilgileri çalarak çalışır. , ve kullanıcı kimliği.
Ayrıca, kurbanın kişisel hesabına bağlı işletmelerden ve reklam hesaplarından gelen veriler de yağmalanır ve bu, düşmanın Telegram kanalından alınan aktör kontrollü bir e-posta adresi ekleyerek hesapları ele geçirmesine ve kendilerine izin vermesine olanak tanır. Yönetici ve Finans editörü erişim.
Yönetici rolüne sahip kullanıcılar Facebook İşletme hesabı üzerinde tam kontrole sahipken, Finans düzenleyici izinlerine sahip kullanıcılar, ticari kredi kartı bilgilerini ve işlemler, faturalar, hesap harcaması ve ödeme yöntemleri gibi finansal ayrıntıları düzenleyebilir.
WithSecure tarafından toplanan telemetri verileri, Filipinler, Hindistan, Suudi Arabistan, İtalya, Almanya, İsveç ve Finlandiya dahil olmak üzere birçok ülkeyi kapsayan küresel bir hedefleme düzenini göstermektedir.
Bununla birlikte şirket, Ducktail kampanyasının “başarısını veya eksikliğini belirleyemediğini” ve kaç kullanıcının potansiyel olarak etkilendiğini belirleyemediğini belirtti.
Facebook İşletme yöneticilerine şunları yapmaları önerilir: erişim izinlerini gözden geçir ve hesapların güvenliğini sağlamak için bilinmeyen kullanıcıları kaldırın.
Bulgular, kötü aktörlerin giderek daha fazla Discord ve Telegram gibi meşru mesajlaşma uygulamalarına nasıl para yatırdıklarının, kötü amaçlı yazılımları yaymak veya operasyonel hedeflerine ulaşmak için otomasyon özelliklerini kötüye kullandıklarının bir başka göstergesi.
“Öncelikle bilgi hırsızlarıyla bağlantılı olarak kullanılan siber suçlular, bu platformları barındırmak, dağıtmak ve nihayetinde şüpheli olmayan kullanıcılardan kimlik bilgilerini veya diğer bilgileri çalmalarına izin veren çeşitli işlevleri yürütmek için kullanmanın yollarını buldular,” Intel 471 söz konusu Salı.