與越南網(wǎng)絡(luò)犯罪生態(tài)系統(tǒng)有關(guān)的網(wǎng)絡(luò)犯罪分子正在大量的利用社交媒體平臺(包括 Meta 旗下的 Facebook)作為傳播惡意軟件的重要手段。
(資料圖片)
據(jù) WithSecure 的研究人員 Mohammad Kazem Hassan Nejad 稱,惡意攻擊者一直在利用大量欺騙性的廣告針對受害者實(shí)施各種詐騙和惡意廣告攻擊�����。隨著企業(yè)越來越多地利用社交媒體發(fā)布廣告��,這種策略使得攻擊流程變得更加容易��,這同時(shí)為攻擊者提供了一種新型的攻擊方式--劫持企業(yè)賬戶�����。
在過去的一年時(shí)間里���,針對 Meta Business 和 Facebook 賬戶的網(wǎng)絡(luò)攻擊變得越來越流行,他們主要是由 Ducktail 和 NodeStealer 等活動(dòng)集群驅(qū)動(dòng)的�����,它們以針對在 Facebook 上運(yùn)營的企業(yè)和個(gè)人進(jìn)行攻擊而變得有名�����。
社會(huì)工程學(xué)在未經(jīng)授權(quán)訪問用戶賬戶方面起著至關(guān)重要的作用���,受害者會(huì)通過 Facebook�����、LinkedIn��、WhatsApp 等平臺和 Upwork 等自由職業(yè)門戶網(wǎng)站進(jìn)行接觸�����。搜索引擎投毒則是另一種用于推廣虛假軟件的方法�,這其中包括 CapCut、Notepad++�����、OpenAI ChatGPT�����、Google Bard 和 Meta Threads����。
這些網(wǎng)絡(luò)犯罪團(tuán)伙使用的常見手段包括濫用 URL 縮短器���、使用 Telegram 進(jìn)行命令和控制 (C2)����,以及使用 Trello、Discord��、Dropbox���、iCloud���、OneDrive 和 Mediafire 等合法云服務(wù)來托管惡意的有效載荷。
例如���,Ducktail 利用了與品牌營銷項(xiàng)目相關(guān)的信息���,對 Meta"s Business 平臺上的個(gè)人和企業(yè)進(jìn)行滲透。在最近的攻擊中���,網(wǎng)絡(luò)犯罪分子則是使用和工作招聘相關(guān)的主題來進(jìn)行攻擊�。
潛在的目標(biāo)用戶被 Facebook 廣告或 LinkedIn InMail 引流到了 Upwork 和 Freelancer 等平臺上�����,然后會(huì)瀏覽大量的具有欺詐性的招聘信息。這些招聘信息中含有指向云存儲(chǔ)提供商托管的惡意文件超鏈接����,從而可以部署 Ducktail惡意軟件進(jìn)行信息的竊取。
Ducktail惡意軟件的設(shè)計(jì)目的是從瀏覽器中竊取已保存的會(huì)話 cookie����,其惡意代碼是專為接管 Facebook 企業(yè)賬戶而量身定制的。這些被入侵的賬戶在地下市場會(huì)進(jìn)行出售�,價(jià)格會(huì)從 15 美元到 340 美元不等。
2023 年 2 月至 3 月間觀察到的最新攻擊方式涉及到使用快捷方式和 PowerShell 文件下載并啟動(dòng)惡意軟件�。該惡意軟件目前已演變?yōu)閺?X(前 Twitter)、TikTok Business 和 Google Ads 等多個(gè)平臺獲取個(gè)人信息���。它還會(huì)利用被竊取的 Facebook 會(huì)話 Cookie 創(chuàng)建具有欺詐性的廣告并獲得更高的權(quán)限���。
用來接管受害者賬戶的主要方法是添加攻擊者的電子郵件地址、更改密碼并鎖定受害者的 Facebook 賬戶�。
Zscaler 的研究人員還觀察到威脅攻擊者還使用了數(shù)字營銷領(lǐng)域用戶的 LinkedIn 賬戶進(jìn)行攻擊的情況,他們利用這些賬戶的真實(shí)性來輔助社會(huì)工程學(xué)戰(zhàn)術(shù)����。這也凸顯了 Ducktail 的蠕蟲式的傳播方式��,即利用被竊取的 LinkedIn 憑據(jù)和 Cookie 登錄受害者賬戶并擴(kuò)大其影響范圍。
Ducktail 只是越南眾多威脅攻擊者中的一個(gè)���,他們會(huì)利用共享工具和高明的攻擊策略實(shí)施欺詐計(jì)劃���。2023 年 3 月底出現(xiàn)的 Ducktail 山寨版 Duckport 主要從事信息竊取以及Meta Business 賬戶劫持。這里值得注意的是�����,Duckport 與 Ducktail 在用于指揮控制�����、源代碼實(shí)施和分發(fā)的 Telegram 頻道方面有所不同����,這也使得它們成為了截然不同的威脅。
Duckport 則采用了一種更加獨(dú)特的技術(shù)��,即向受害者發(fā)送與假冒品牌或公司相關(guān)的品牌網(wǎng)站鏈接���,重定向受害者然后從文件托管服務(wù)下載惡意文件�。與 Ducktail 不同的是,Duckport 使用了Telegram 向受害者機(jī)器傳遞命令�,并整合了其他額外的信息竊取和賬戶劫持功能,并且還添加了截圖和濫用在線筆記服務(wù)作為其指揮和控制攻擊的一部分�。
本文翻譯自:https://www.cysecurity.news/2023/09/vietnamese-cybercriminals-exploit.html如若轉(zhuǎn)載,請注明原文地址
