Cibercriminosos associados ao ecossistema do crime cibernético vietnamita estão aproveitando contas comerciais em plataformas de mídia social, como o Facebook, de propriedade da Meta, para distribuir malware.
De acordo com o pesquisador do WithSecure, Mohammad Kazem Hassan Nejad, esses cibercriminosos há muito usam anúncios fraudulentos como vetor para atingir as vítimas com golpes, malvertising e muito mais.
E com as empresas agora aproveitando o alcance das mídias sociais para publicidade, os invasores têm um novo tipo de ataque altamente lucrativo para adicionar ao seu arsenal: o sequestro de contas empresariais.
Cibercriminosos usam contas do Facebook para distribuir malware
Os ataques cibernéticos direcionados às contas Meta Business e Facebook ganharam popularidade no ano passado, cortesia de grupos de atividades como Ducktail e NodeStealer, que são conhecidos por invadir empresas e indivíduos que operam no Facebook. Entre os métodos utilizados pelos cibercriminosos para obter acesso não autorizado às contas dos utilizadores, a engenharia social desempenha um papel significativo.
De acordo com as informações, as vítimas são abordadas através de diversas plataformas, desde Facebook e LinkedIn até WhatsApp e portais de empregos freelance como Upwork. Outro mecanismo de distribuição conhecido é o uso de envenenamento de mecanismos de pesquisa para impulsionar softwares falsos, como CapCut, Notepad++, OpenAI ChatGPT, Google Bard e Meta Threads.
O Bleeping Computer aponta que, um elemento comum a esses grupos é o abuso de serviços de encurtamento de URL, Telegram para comando e controle (C2) e serviços de nuvem legítimos como Trello, Discord, Dropbox, iCloud, OneDrive e Mediafire para hospedar cargas maliciosas.
A gangue por trás do Ducktail, por exemplo, aproveitam iscas relacionadas a projetos de marca e marketing para se infiltrar em indivíduos e empresas que operam na plataforma Business da Meta. Em novas ondas de ataque empregando temas relacionados a empregos e recrutamento para ativar a infecção.
Nestes ataques, os alvos potenciais são direcionados para postagens falsas no Upwork e Freelancer por meio de anúncios do Facebook ou LinkedIn InMail, que, por sua vez, contêm um link para um arquivo de descrição de trabalho com armadilha hospedado em um dos provedores de armazenamento em nuvem mencionados acima, levando em última análise à implantação do malware ladrão Ducktail.
Sequências de infecção selecionadas observadas entre fevereiro e março de 2023 envolveram o uso de atalhos e arquivos PowerShell para baixar e lançar o malware final, ilustrando a evolução contínua de suas táticas pelos invasores.
A experimentação também se estende ao ladrão, que foi atualizado para coletar informações pessoais de um usuário do X (antigo Twitter), TikTok Business e Google Ads, bem como aproveitar os cookies de sessão roubados do Facebook para criar anúncios fraudulentos de forma automatizada e obter privilégios elevados para executar outras ações.
Malvertising
O principal método usado para assumir o controle da conta comprometida de uma vítima é adicionar seu próprio endereço de e-mail a essa conta e, posteriormente, alterar a senha e o endereço de e-mail da conta do Facebook da vítima para bloqueá-la do serviço.
Alguns dos outros métodos adotados pelo agente da ameaça para dificultar a análise abrangem o uso de nomes de assembly gerados exclusivamente e a dependência de SmartAssembly, inchaço e compactação para ofuscar o malware.
Informações apontam que, o Ducktail é um dos muitos atores de ameaças vietnamitas que estão aproveitando ferramentas e táticas compartilhadas para executar tais esquemas fraudulentos. Isso também inclui um imitador Ducktail chamado Duckport, que está ativo desde o final de março de 2023 e realiza roubo de informações junto com o sequestro de contas Meta Business.