与越南网络犯罪生态系统有关的网络犯罪分子正在大量的利用社交媒体平台(包括 Meta 旗下的 Facebook)作为传播恶意软件的重要手段。
据 WithSecure 的研究人员 Mohammad Kazem Hassan Nejad 称,恶意攻击者一直在利用大量欺骗性的广告针对受害者实施各种诈骗和恶意广告攻击。随着企业越来越多地利用社交媒体发布广告,这种策略使得攻击流程变得更加容易,这同时为攻击者提供了一种新型的攻击方式--劫持企业账户。
在过去的一年时间里,针对 Meta Business 和 Facebook 账户的网络攻击变得越来越流行,他们主要是由 Ducktail 和 NodeStealer 等活动集群驱动的,它们以针对在 Facebook 上运营的企业和个人进行攻击而变得有名。
社会工程学在未经授权访问用户账户方面起着至关重要的作用,受害者会通过 Facebook、LinkedIn、WhatsApp 等平台和 Upwork 等自由职业门户网站进行接触。搜索引擎投毒则是另一种用于推广虚假软件的方法,这其中包括 CapCut、Notepad++、OpenAI ChatGPT、Google Bard 和 Meta Threads。
这些网络犯罪团伙使用的常见手段包括滥用 URL 缩短器、使用 Telegram 进行命令和控制 (C2),以及使用 Trello、Discord、Dropbox、iCloud、OneDrive 和 Mediafire 等合法云服务来托管恶意的有效载荷。
例如,Ducktail 利用了与品牌营销项目相关的信息,对 Meta's Business 平台上的个人和企业进行渗透。在最近的攻击中,网络犯罪分子则是使用和工作招聘相关的主题来进行攻击。
潜在的目标用户被 Facebook 广告或 LinkedIn InMail 引流到了 Upwork 和 Freelancer 等平台上,然后会浏览大量的具有欺诈性的招聘信息。这些招聘信息中含有指向云存储提供商托管的恶意文件超链接,从而可以部署 Ducktail恶意软件进行信息的窃取。
Ducktail恶意软件的设计目的是从浏览器中窃取已保存的会话 cookie,其恶意代码是专为接管 Facebook 企业账户而量身定制的。这些被入侵的账户在地下市场会进行出售,价格会从 15 美元到 340 美元不等。
2023 年 2 月至 3 月间观察到的最新攻击方式涉及到使用快捷方式和 PowerShell 文件下载并启动恶意软件。该恶意软件目前已演变为从 X(前 Twitter)、TikTok Business 和 Google Ads 等多个平台获取个人信息。它还会利用被窃取的 Facebook 会话 Cookie 创建具有欺诈性的广告并获得更高的权限。
用来接管受害者账户的主要方法是添加攻击者的电子邮件地址、更改密码并锁定受害者的 Facebook 账户。
Zscaler 的研究人员还观察到威胁攻击者还使用了数字营销领域用户的 LinkedIn 账户进行攻击的情况,他们利用这些账户的真实性来辅助社会工程学战术。这也凸显了 Ducktail 的蠕虫式的传播方式,即利用被窃取的 LinkedIn 凭据和 Cookie 登录受害者账户并扩大其影响范围。
Ducktail 只是越南众多威胁攻击者中的一个,他们会利用共享工具和高明的攻击策略实施欺诈计划。2023 年 3 月底出现的 Ducktail 山寨版 Duckport 主要从事信息窃取以及Meta Business 账户劫持。这里值得注意的是,Duckport 与 Ducktail 在用于指挥控制、源代码实施和分发的 Telegram 频道方面有所不同,这也使得它们成为了截然不同的威胁。
Duckport 则采用了一种更加独特的技术,即向受害者发送与假冒品牌或公司相关的品牌网站链接,重定向受害者然后从文件托管服务下载恶意文件。与 Ducktail 不同的是,Duckport 使用了Telegram 向受害者机器传递命令,并整合了其他额外的信息窃取和账户劫持功能,并且还添加了截图和滥用在线笔记服务作为其指挥和控制攻击的一部分。
参考及来源:
https://www.cysecurity.news/2023/09/vietnamese-cybercriminals-exploit.html