Malware Infostealer Ducktail Baru yang Menargetkan Akun Bisnis dan Iklan Facebook

Hacking Facebook Business Accounts

Akun bisnis dan iklan Facebook berada di ujung penerima kampanye yang sedang berlangsung yang dijuluki Ekor bebek dirancang untuk merebut kendali sebagai bagian dari operasi kejahatan dunia maya yang didorong secara finansial.

“Aktor ancaman menargetkan individu dan karyawan yang mungkin memiliki akses ke akun Facebook Business dengan malware pencuri informasi,” kata perusahaan keamanan siber Finlandia WithSecure (sebelumnya F-Secure Business) dalam sebuah laporan baru.

Malware ini dirancang untuk mencuri cookie browser dan memanfaatkan sesi Facebook yang diautentikasi untuk mencuri informasi dari akun Facebook korban dan akhirnya membajak akun Facebook Business yang aksesnya cukup oleh korban.

Serangan, yang dikaitkan dengan aktor ancaman Vietnam, dikatakan telah dimulai pada paruh kedua tahun 2021, dengan target utama adalah individu dengan peran manajerial, pemasaran digital, media digital, dan sumber daya manusia di perusahaan.

Keamanan cyber

Idenya adalah untuk menargetkan karyawan dengan akses tingkat tinggi ke akun Facebook Business yang terkait dengan organisasi mereka, menipu mereka agar mengunduh informasi iklan Facebook yang dihosting di Dropbox, Apple iCloud, dan MediaFire.

Dalam beberapa kasus, file arsip yang berisi muatan berbahaya juga dikirimkan ke korban melalui LinkedIn, yang pada akhirnya memungkinkan penyerang mengambil alih akun Facebook Business.

Malware pencuri informasi yang ditulis dalam .NET Core, biner direkayasa untuk menggunakan Telegram untuk perintah-dan-kontrol dan eksfiltrasi data. WithSecure mengatakan telah mengidentifikasi delapan saluran Telegram yang digunakan untuk tujuan ini.

Meretas Akun Bisnis Facebook

Ia bekerja dengan memindai browser yang diinstal seperti Google Chrome, Microsoft Edge, Brave Browser, dan Mozilla Firefox untuk mengekstrak semua cookie yang disimpan dan token akses, di samping mencuri informasi dari akun Facebook pribadi korban seperti nama, alamat email, tanggal lahir , dan ID pengguna.

Related Post :   Mengambil Pendekatan Berbasis Risiko untuk Patching Kerentanan

Juga dijarah adalah data dari bisnis dan akun iklan yang terhubung ke akun pribadi korban, memungkinkan musuh untuk membajak akun dengan menambahkan alamat email yang dikendalikan aktor yang diambil dari saluran Telegram dan memberikan akses editor Admin dan Keuangan kepada diri mereka sendiri.

Meskipun pengguna dengan peran Admin memiliki kontrol penuh atas akun Facebook Business, pengguna dengan izin editor Keuangan dapat mengedit informasi kartu kredit bisnis dan detail keuangan seperti transaksi, faktur, pembelanjaan akun, dan metode pembayaran.

Keamanan cyber

Data telemetri yang dikumpulkan oleh WithSecure menunjukkan pola penargetan global yang mencakup sejumlah negara, termasuk Filipina, India, Arab Saudi, Italia, Jerman, Swedia, dan Finlandia.

Yang mengatakan, perusahaan mencatat itu “tidak dapat menentukan keberhasilan, atau kekurangannya” dari kampanye Ducktail, menambahkan itu tidak dapat menentukan berapa banyak pengguna yang berpotensi terpengaruh.

Administrator Facebook Business disarankan untuk meninjau izin akses mereka dan menghapus pengguna yang tidak dikenal untuk mengamankan akun.

Temuan ini merupakan indikator lain tentang bagaimana aktor jahat semakin mengandalkan aplikasi perpesanan yang sah seperti Discord dan Telegram, menyalahgunakan fitur otomatisasi mereka untuk menyebarkan malware atau memenuhi tujuan operasional mereka.

“Terutama digunakan bersama dengan pencuri informasi, penjahat dunia maya telah menemukan cara untuk menggunakan platform ini untuk meng-host, mendistribusikan, dan menjalankan berbagai fungsi yang pada akhirnya memungkinkan mereka mencuri kredensial atau informasi lain dari pengguna yang tidak menaruh curiga,” kata Intel 471 Selasa.

Related Post :   Awas! Peneliti Menemukan Eksploitasi Zero-Day Microsoft Office Baru di Alam Liar


Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan.