今天小編分享的互聯網經驗:越南網絡犯罪分子利用惡意廣告針對Facebook 企業賬戶攻擊,歡迎閱讀。
與越南網絡犯罪生态系統有關的網絡犯罪分子正在大量的利用社交媒體平台(包括 Meta 旗下的 Facebook)作為傳播惡意軟體的重要手段。
據 WithSecure 的研究人員 Mohammad Kazem Hassan Nejad 稱,惡意攻擊者一直在利用大量欺騙性的廣告針對受害者實施各種詐騙和惡意廣告攻擊。随着企業越來越多地利用社交媒體發布廣告,這種策略使得攻擊流程變得更加容易,這同時為攻擊者提供了一種新型的攻擊方式 -- 劫持企業賬戶。
在過去的一年時間裡,針對 Meta Business 和 Facebook 賬戶的網絡攻擊變得越來越流行,他們主要是由 Ducktail 和 NodeStealer 等活動集群驅動的,它們以針對在 Facebook 上運營的企業和個人進行攻擊而變得有名。
社會工程學在未經授權訪問用戶賬戶方面起着至關重要的作用,受害者會通過 Facebook、LinkedIn、WhatsApp 等平台和 Upwork 等自由職業門戶網站進行接觸。搜索引擎投毒則是另一種用于推廣虛假軟體的方法,這其中包括 CapCut、Notepad++、OpenAI ChatGPT、Google Bard 和 Meta Threads。
這些網絡犯罪團夥使用的常見手段包括濫用 URL 縮短器、使用 Telegram 進行命令和控制 ( C2 ) ,以及使用 Trello、Discord、Dropbox、iCloud、OneDrive 和 Mediafire 等合法雲服務來托管惡意的有效載荷。
例如,Ducktail 利用了與品牌營銷項目相關的信息,對 Meta's Business 平台上的個人和企業進行滲透。在最近的攻擊中,網絡犯罪分子則是使用和工作招聘相關的主題來進行攻擊。
潛在的目标用戶被 Facebook 廣告或 LinkedIn InMail 引流到了 Upwork 和 Freelancer 等平台上,然後會浏覽大量的具有欺詐性的招聘信息。這些招聘信息中含有指向雲存儲提供商托管的惡意檔案超鏈接,從而可以部署 Ducktail 惡意軟體進行信息的竊取。
Ducktail 惡意軟體的設計目的是從浏覽器中竊取已保存的會話 cookie,其惡意代碼是專為接管 Facebook 企業賬戶而量身定制的。這些被入侵的賬戶在地下市場會進行出售,價格會從 15 美元到 340 美元不等。
2023 年 2 月至 3 月間觀察到的最新攻擊方式涉及到使用快捷方式和 PowerShell 檔案下載并啟動惡意軟體。該惡意軟體目前已演變為從 X(前 Twitter)、TikTok Business 和 Google Ads 等多個平台獲取個人信息。它還會利用被竊取的 Facebook 會話 Cookie 創建具有欺詐性的廣告并獲得更高的權限。
用來接管受害者賬戶的主要方法是添加攻擊者的電子郵件地址、更改密碼并鎖定受害者的 Facebook 賬戶。
Zscaler 的研究人員還觀察到威脅攻擊者還使用了數字營銷領網域用戶的 LinkedIn 賬戶進行攻擊的情況,他們利用這些賬戶的真實性來輔助社會工程學戰術。這也凸顯了 Ducktail 的蠕蟲式的傳播方式,即利用被竊取的 LinkedIn 憑據和 Cookie 登錄受害者賬戶并擴大其影響範圍。
Ducktail 只是越南眾多威脅攻擊者中的一個,他們會利用共享工具和高明的攻擊策略實施欺詐計劃。2023 年 3 月底出現的 Ducktail 山寨版 Duckport 主要從事信息竊取以及 Meta Business 賬戶劫持。這裡值得注意的是,Duckport 與 Ducktail 在用于指揮控制、源代碼實施和分發的 Telegram 頻道方面有所不同,這也使得它們成為了截然不同的威脅。
Duckport 則采用了一種更加獨特的技術,即向受害者發送與假冒品牌或公司相關的品牌網站鏈接,重定向受害者然後從檔案托管服務下載惡意檔案。與 Ducktail 不同的是,Duckport 使用了 Telegram 向受害者機器傳遞命令,并整合了其他額外的信息竊取和賬戶劫持功能,并且還添加了截圖和濫用在線筆記服務作為其指揮和控制攻擊的一部分。
