Facebook işletme ve reklam hesapları, dublajlı devam eden bir kampanyanın alıcı ucunda Ördek kuyruğu finansal olarak yönlendirilen bir siber suç operasyonunun parçası olarak kontrolü ele geçirmek için tasarlanmıştır.
Fin siber güvenlik şirketi WithSecure (eski adıyla F-Secure Business) yeni bir raporda, “Tehdit aktörü, bilgi hırsızı kötü amaçlı bir kötü amaçlı yazılımla bir Facebook Business hesabına erişimi olabilecek bireyleri ve çalışanları hedef alıyor” dedi.
“Kötü amaçlı yazılım, tarayıcı tanımlama bilgilerini çalmak ve kurbanın Facebook hesabından bilgi çalmak için kimliği doğrulanmış Facebook oturumlarından yararlanmak ve nihayetinde kurbanın yeterli erişime sahip olduğu herhangi bir Facebook İşletme hesabını ele geçirmek için tasarlanmıştır.”
Vietnamlı bir tehdit aktörüne atfedilen saldırıların, 2021’in ikinci yarısında başladığı ve birincil hedeflerin şirketlerde yönetim, dijital pazarlama, dijital medya ve insan kaynakları rollerine sahip kişiler olduğu söyleniyor.
Buradaki fikir, kuruluşlarıyla ilişkili Facebook Business hesaplarına üst düzey erişimi olan çalışanları hedefleyerek onları Dropbox, Apple iCloud ve MediaFire’da barındırılan Facebook reklam bilgilerini indirmeleri için kandırmaktır.
Bazı durumlarda, kötü amaçlı yükü içeren arşiv dosyası da LinkedIn aracılığıyla kurbanlara iletilir ve sonuçta saldırganın herhangi bir Facebook Business hesabını ele geçirmesine olanak tanır.
.NET Core’da yazılmış, bilgi çalan bir kötü amaçlı yazılım olan ikili, komut ve kontrol ve veri hırsızlığı için Telegram’ı kullanmak üzere tasarlanmıştır. WithSecure, bu amaç için kullanılan sekiz Telegram kanalı belirlediğini söyledi.
Saklanan tüm çerezleri ve erişim belirteçlerini çıkarmak için Google Chrome, Microsoft Edge, Brave Browser ve Mozilla Firefox gibi yüklü tarayıcıları tarayarak ve kurbanın ad, e-posta adresi, doğum tarihi gibi kişisel Facebook hesabından bilgileri çalarak çalışır. , ve kullanıcı kimliği.
Ayrıca, kurbanın kişisel hesabına bağlı işletmelerden ve reklam hesaplarından gelen veriler de yağmalanır ve bu da, düşmanın Telegram kanalından alınan aktör kontrollü bir e-posta adresi ekleyerek hesapları ele geçirmesine ve kendilerine Yönetici ve Finans editörü erişimi vermesine olanak tanır.
Yönetici rolüne sahip kullanıcılar Facebook İşletme hesabı üzerinde tam kontrole sahipken, Finans düzenleyici izinlerine sahip kullanıcılar, ticari kredi kartı bilgilerini ve işlemler, faturalar, hesap harcaması ve ödeme yöntemleri gibi finansal ayrıntıları düzenleyebilir.
WithSecure tarafından toplanan telemetri verileri, Filipinler, Hindistan, Suudi Arabistan, İtalya, Almanya, İsveç ve Finlandiya dahil olmak üzere birçok ülkeyi kapsayan küresel bir hedefleme düzenini göstermektedir.
Bununla birlikte şirket, Ducktail kampanyasının “başarısını veya eksikliğini belirleyemediğini” ve kaç kullanıcının potansiyel olarak etkilendiğini belirleyemediğini belirtti.
Facebook İşletme yöneticilerinin, hesapların güvenliğini sağlamak için erişim izinlerini gözden geçirmeleri ve bilinmeyen kullanıcıları kaldırmaları önerilir.
Bulgular, kötü aktörlerin giderek daha fazla Discord ve Telegram gibi meşru mesajlaşma uygulamalarına nasıl para yatırdıklarının, kötü amaçlı yazılımları yaymak veya operasyonel hedeflerine ulaşmak için otomasyon özelliklerini kötüye kullandıklarının bir başka göstergesi.
Intel 471 Salı günü yaptığı açıklamada, “Öncelikle bilgi hırsızlarıyla bağlantılı olarak kullanılan siber suçlular, bu platformları barındırmak, dağıtmak ve nihayetinde şüpheli olmayan kullanıcılardan kimlik bilgilerini veya diğer bilgileri çalmalarına izin veren çeşitli işlevleri yürütmek için kullanmanın yollarını buldu.” Dedi.