Các tài khoản kinh doanh và quảng cáo trên Facebook đang ở giai đoạn cuối của một chiến dịch đang diễn ra có tên Đuôi vịt được thiết kế để giành quyền kiểm soát như một phần của hoạt động tội phạm mạng được định hướng tài chính.
Công ty an ninh mạng WithSecure của Phần Lan (trước đây là F-Secure Business) cho biết: “Kẻ đe dọa nhắm mục tiêu vào các cá nhân và nhân viên có thể có quyền truy cập vào tài khoản Facebook Business với phần mềm độc hại đánh cắp thông tin.
“Phần mềm độc hại được thiết kế để đánh cắp cookie của trình duyệt và lợi dụng các phiên Facebook đã xác thực để lấy cắp thông tin từ tài khoản Facebook của nạn nhân và cuối cùng là chiếm đoạt bất kỳ tài khoản Facebook Business nào mà nạn nhân có đủ quyền truy cập.”
Các cuộc tấn công, do một tác nhân đe dọa Việt Nam, được cho là bắt đầu vào nửa cuối năm 2021, với mục tiêu chính là các cá nhân có vai trò quản lý, tiếp thị kỹ thuật số, truyền thông kỹ thuật số và nhân sự trong các công ty.
Ý tưởng là nhắm mục tiêu các nhân viên có quyền truy cập cấp cao vào tài khoản Facebook Business được liên kết với tổ chức của họ, lừa họ tải xuống thông tin quảng cáo Facebook được cho là được lưu trữ trên Dropbox, Apple iCloud và MediaFire.
Trong một số trường hợp, tệp lưu trữ chứa tải trọng độc hại cũng được gửi đến nạn nhân thông qua LinkedIn, cuối cùng cho phép kẻ tấn công chiếm đoạt bất kỳ tài khoản Facebook Business nào.
Một phần mềm độc hại ăn cắp thông tin được viết bằng .NET Core, mã nhị phân được thiết kế để sử dụng Telegram cho việc ra lệnh và kiểm soát và lọc dữ liệu. WithSecure cho biết họ đã xác định được tám kênh Telegram được sử dụng cho mục đích này.
Nó hoạt động bằng cách quét các trình duyệt đã cài đặt như Google Chrome, Microsoft Edge, Brave Browser và Mozilla Firefox để trích xuất tất cả cookie được lưu trữ và mã thông báo truy cập, đồng thời lấy cắp thông tin từ tài khoản Facebook cá nhân của nạn nhân như tên, địa chỉ email, ngày sinh. và ID người dùng.
Ngoài ra còn bị cướp dữ liệu từ các doanh nghiệp và tài khoản quảng cáo được kết nối với tài khoản cá nhân của nạn nhân, cho phép kẻ thù chiếm đoạt tài khoản bằng cách thêm địa chỉ email do diễn viên kiểm soát được lấy từ kênh Telegram và tự cấp quyền truy cập biên tập viên Quản trị và Tài chính.
Mặc dù người dùng có vai trò Quản trị viên có toàn quyền kiểm soát tài khoản Facebook Business, nhưng người dùng có quyền biên tập viên Finance có thể chỉnh sửa thông tin thẻ tín dụng doanh nghiệp và các chi tiết tài chính như giao dịch, hóa đơn, chi tiêu tài khoản và phương thức thanh toán.
Dữ liệu đo từ xa do WithSecure thu thập cho thấy mô hình nhắm mục tiêu toàn cầu bao gồm một số quốc gia, bao gồm Philippines, Ấn Độ, Ả Rập Xê Út, Ý, Đức, Thụy Điển và Phần Lan.
Điều đó nói rằng, công ty lưu ý rằng họ “không thể xác định thành công hay thiếu” của chiến dịch Ducktail, thêm vào đó, họ không thể xác định có bao nhiêu người dùng có khả năng bị ảnh hưởng.
Các quản trị viên của Facebook Business nên xem lại các quyền truy cập của họ và xóa mọi người dùng không xác định để bảo mật tài khoản.
Các phát hiện còn là một chỉ báo khác cho thấy những kẻ xấu đang ngày càng tấn công các ứng dụng nhắn tin hợp pháp như Discord và Telegram, lạm dụng các tính năng tự động hóa của chúng để phát tán phần mềm độc hại hoặc đáp ứng các mục tiêu hoạt động của chúng.
“Chủ yếu được sử dụng cùng với những kẻ đánh cắp thông tin, tội phạm mạng đã tìm ra cách sử dụng các nền tảng này để lưu trữ, phân phối và thực thi các chức năng khác nhau mà cuối cùng cho phép chúng đánh cắp thông tin xác thực hoặc thông tin khác từ những người dùng không nghi ngờ”, Intel 471 cho biết hôm thứ Ba.
.
