行业新闻

武汉安鸾学院 > 行业新闻 > 新闻资讯 > 越南网络犯罪分子通过恶意广告瞄准Facebook商业帐户

越南网络犯罪分子通过恶意广告瞄准Facebook商业帐户

  • 2023年9月6日
  • 作者: 安鸾网络
  • 分类目录 新闻资讯
没有评论

与越南网络犯罪生态系统相关的恶意行为者正在利用社交媒体平台(如元拥有的Facebook)上的广告作为载体来分发恶意软件。

WithSecure研究员Mohammad Kazem Hassan Nejad说:“长期以来,威胁者一直使用欺诈广告作为载体,通过诈骗、恶意广告等手段锁定受害者。”“随着企业现在利用社交媒体进行广告宣传,攻击者有了一个新的、高利润的攻击类型,以增加他们的武器库——劫持企业帐户。”

针对Meta Business和Facebook账户的网络攻击在过去一年中越来越受欢迎,这得益于Ducktail和NodeStealer等活动集群,这些活动集群以袭击在Facebook上运营的企业和个人而闻名。

在网络犯罪分子所采用的未经授权访问用户帐户的方法中,社会工程扮演着重要的角色。

受害者通过Facebook、LinkedIn、WhatsApp和Upwork等自由职业者求职门户等各种平台接触。另一个已知的分发机制是使用搜索引擎中毒来增强假冒软件,如CapCut、Notepad++、OpenAI ChatGPT、Google Bard和Meta Threads。

这些团体的一个共同点是滥用URL缩短服务,Telegram用于命令和控制(C2),以及合法的云服务,如Trello、Discord、Dropbox、iCloud、OneDrive和Mediafire来承载恶意负载。

例如,Ducktail背后的行为者利用与品牌和营销项目相关的诱饵渗透到在Meta的业务平台上运营的个人和企业,利用新的攻击波采用与工作和招聘相关的主题来激活感染。

在这些攻击中,潜在目标通过Facebook广告或LinkedIn InMail被定向到Upwork和Freelancer上的虚假帖子,这反过来又包含指向托管在上述云存储提供商之一上的诱杀装置职位描述文件的链接,最终导致Ducktail窃贼恶意软件的部署。

“鸭尾巴恶意软件窃取保存会话cookie从浏览器,专门定制的代码接管Facebook的企业帐户,”Zscaler ThreatLabz研究人员苏迪普·辛格和纳温·塞尔万指出,在一个平行的分析,说明帐户售价之间的任何地方$15至$340。

“该操作的‘产品’(即被黑客入侵的社交媒体账户)助长了被盗社交媒体账户的地下经济,其中许多供应商根据其被认为对恶意活动的有用性提供定价的账户。”

在2023年2月至3月期间观察到的选定感染序列涉及使用快捷方式和PowerShell文件下载并启动最终恶意软件,说明攻击者的战术不断演变。

实验还扩展到窃取,它已被更新为从X(以前的Twitter)、TikTok Business和Google Ads收集用户的个人信息,以及利用窃取的Facebook会话cookie以自动方式创建欺诈广告,并获得执行其他操作的更高权限。

用来接管受害者的受感染帐户的主要方法是通过将他们自己的电子邮件地址添加到该帐户,随后更改受害者的Facebook帐户的密码和电子邮件地址,以锁定他们的服务。

“鸭尾样本中观察到的另一个新功能,因为(至少)2023年7月正在使用RestartManager(RM)杀死锁定浏览器数据库的进程,”WithSecure说。“这种能力通常在勒索软件中发现,因为进程或服务正在使用的文件无法加密。”

更重要的是,最终的有效载荷是模糊的,使用加载器来解密并在运行时动态执行,这被看作是一种试图结合旨在增加分析复杂性和检测逃避的技术。

威胁参与者为阻碍分析而采用的其他一些方法包括使用唯一生成的程序集名称以及依赖SmartAssembly、膨胀和压缩来混淆恶意软件。

Zscaler表示,它发现的情况下,该集团通过被入侵的LinkedIn账户发起联系,这些账户属于数字营销领域的用户,其中一些人有超过500个连接和1000个追随者。

研究人员说:“大量的联系人/追随者帮助增加了被入侵账户的真实性,并促进了威胁者的社会工程过程。”

这也突出了鸭尾巴的蠕虫状传播,其中LinkedIn凭据和cookie从谁成为恶意软件攻击的受害者的用户被盗,用于登录到他们的帐户和联系其他目标,并扩大他们的覆盖面。

鸭尾据说是许多越南威胁演员之一,他们利用共享的工具和战术来完成这种欺诈计划。这也包括一个被称为Duckport的鸭尾模仿者,它自2023年3月下旬以来一直活跃,并在元商业帐户劫持的同时执行信息窃取。

值得指出的是,Zscaler正在追踪的Ducktail活动实际上是Duckport,根据WithSecure的说法,这是一个单独的威胁,因为C2使用的Telegram通道、源代码实现以及这两个菌株从未一起分发。

WithSecure说:“尽管Ducktail尝试使用假品牌网站作为其社交工程努力的一部分,但它一直是Duckport的一种常见技术。”

“Duckport没有向Dropbox等文件托管服务提供直接下载链接(这可能会引起怀疑),而是将受害者链接发送到与其冒充的品牌/公司相关的品牌网站,然后将其重定向从文件托管服务(如Dropbox)下载恶意存档。”

Duckport公司虽然以鸭尾为基础,但也提供了一些新功能,扩展了信息窃取和账户劫持功能,还将截屏或滥用在线笔记服务作为C2链的一部分,实质上取代了Telegram作为向受害者机器传递命令的渠道。

“这些威胁以越南为中心的元素以及在能力、基础设施和受害者特征方面的高度重叠表明,各种威胁参与者之间存在积极的工作关系,这些威胁团体之间共享工具和TTP,或者是一个破碎的、面向服务的越南网络犯罪生态系统(类似于勒索软件即服务模式)。以Facebook等社交媒体平台为中心,”WithSecure说。