En ny WithSecure-rapport avslöjar att hot riktade mot Meta Business-konton blir allt populärare bland Vietnam-baserade cyberbrottslingar.En ökande trend av cyberattacker riktade mot Meta Business- och Facebook-konton har blivit alltmer populär bland aktörer i Vietnam, enligt en ny rapport från WithSecure, tidigare känt som F-Secure Business, som släpptes idag.
WithSecure Intelligence har uppmärksammat och följer för närvarande flera grupper som riktar sina attacker mot dessa plattformar. Attackerna går ut på att manipulera individer med tillgång till de drabbade kontona för att infektera sig själva med skadlig programvara som stjäl känslig information.
Angriparna använder olika metoder för att locka sina offer att ladda ner skadlig programvara. Dessa metoder inkluderar användning av bedrägliga erbjudanden som delas via e-post, sociala medier och andra kanaler. De lockbeten som har observerats i dessa attacker inkluderar ämnen som trendande teknologier (som ChatGPT), populär programvara (som Notepad++), jobbmöjligheter (som jobbannonser eller projektutmaningar) och information om reklamplattformar (som funktioner i Ads Manager).
Efter en framgångsrik infektion kan skadlig programvara få tillgång till olika former av information, inklusive Facebook-sessioners cookies och inloggningsuppgifter, vilket ger angriparna kontroll över de komprometterade kontona. Vissa varianter av skadlig programvara kan till och med ta över konton och automatiskt distribuera bedrägliga annonser via offrets enhet.
Att få tillgång till dessa konton ger angriparna flera möjligheter att dra nytta, såsom utpressning och ärekränkning. En av de mest lönsamma metoderna är att använda de drabbade organisationernas medel för att köra falska annonser.
“WithSecure™-forskaren Mohammad Kazem Hassan Nejad, författare till rapporten, förklarar: “Dessa grupper säljer ofta annonser till andra cyberbrottslingar, antingen genom avgifter eller delning av intäkter. De agerar som en slags mellanhand för andra cyberkriminella, vilket skadar företag, plattformar och användare. Dessutom kan de sälja den stulna informationen och skapa ytterligare inkomstkällor, vilket ökar lidandet för offren.”
Rapporten går även igenom två specifika hotmetoder som används i dessa attacker. Det första hotet, kallat DUCKTAIL, har observerats av WithSecure Intelligence i ungefär ett och ett halvt år. Under det senaste halvåret har forskarna noterat en markant ökning av DUCKTAIL-aktivitet, samt förändringar i deras angreppsmetoder. DUCKTAIL har inriktat sig på X/Twitter-annonskonton och använder sig av desinformationstekniker för att undvika upptäckt.
Det andra hotet, DUCKPORT, upptäcktes av WithSecure Intelligence i mars 2023. Även om det finns likheter mellan DUCKTAIL och DUCKPORT, har de unika egenskaper som motiverar att de betraktas som separata hot. DUCKPORT kan till exempel ta skärmdumpar och använda nättjänster för anteckningsdelning som en del av sin kommandokedja.
Neeraj Singh från WithSecure kommenterar: “Att se olika grupper med liknande metoder tyder på samarbete och utbyte av expertis. Det är möjligt att de delar verktyg och strategier med varandra. Det är också möjligt att det finns mellanhänder som erbjuder specialiserade tjänster, liknande modellen för ransomware som en tjänst. Tydligt är att denna verksamhet växer och att attackmetoderna har visat sig vara framgångsrika.”
Sammanfattningsvis visar rapporten på en ökande trend av cyberattacker riktade mot Meta Business-konton och Facebook-konton. Aktörer i Vietnam använder olika metoder för att locka offer att ladda ner skadlig programvara, vilket resulterar i komprometterad information och möjligheter till ekonomisk vinning för angriparna. Rapporten identifierar även två specifika hotmetoder, DUCKTAIL och DUCKPORT, som har observerats i dessa attacker. Det är tydligt att hotlandskapet utvecklas och att samarbete mellan olika grupper kan vara en faktor bakom denna ökande trend av attacker mot Metas annonsekosystem.