Grupa cyberprzestępców z Wietnamu DUCKTAIL opracowała nowy sposób ataków na użytkowników i firmy korzystające z Facebook Ads i Facebook Business. Hakerzy do cyberataków wykorzystują m. in. aplikację WhatsApp. Straty w niektórych firmach wynoszą nawet kilkaset tysięcy dolarów.
Hakerzy z Wietnamu przejmują konta biznesowe
DUCKTAIL od 2021 roku namierza za pośrednictwem serwisu LinkedIn osoby oraz firmy obecne na platformie Facebook Ads i Business, w celu przejmowania kont. Hakerzy wykorzystują do tego złośliwe oprogramowanie typu infostealer, które zostało stworzone specjalnie w celu kradnięcia kont na tych platformach.
Program wykrada pliki cookies przeglądarki oraz wykorzystuje uwierzytelnione sesje Facebooka w celu pobrania informacji z konta ofiary. Finalnie skradzione zostają wszystkie konta Facebook Business, do których poszkodowana osoba ma wystarczający dostęp.
Nowe metody działania cyberprzestępców
W lipcu tego roku ten sposób działania cyberprzestępców został ujawniony przez specjalistów z firmy WithSecure. Najnowsze analizy pokazują, że grupa obecnie zmieniła metody ataków, omijając zabezpieczenia i rozszerzając swoją działalność.
— Nie widzimy żadnych oznak spowolnienia działalności grupy DUCKTAIL w ostatnim czasie. Gdy pojawiają się niepowodzenia, operacja szybko ewoluuje. Do tej pory, zespół stojący za atakami był stosunkowo niewielki, jednak to się zmieniło — wyjaśnia Mohammad Kazem Hassan Nejad, badacz z firmy WithSecure.
Czym jest phishing?
Phishing polega na podszywaniu się pod kogoś innego, w celu wyłudzenia informacji lub zainfekowania sprzętu złośliwym oprogramowaniem. Poszkodowany otrzymuje e-maile, SMS-y, wiadomości w komunikatorach (np. WhatsApp) od fałszywego nadawcy.
Dzięki temu działania grupy DUCKTAIL od początku września zmieniły charakter. Hakerzy korzystają m. in. z nowych kanałów phishingowych, takich jak WhatsApp (wcześniej był to głównie LinkedIn). Cyberprzestępcy nieustannie rozwijają też swoje złośliwe oprogramowanie i opracowują nowe sposoby ominięcia zabezpieczeń poprzez zmianę formatu plików. W przestępcze operacje angażowane są również kolejne podmioty i fałszywe firmy zakładane w Wietnamie.
— Większość uwagi zazwyczaj poświęca się atakom typu ransomware. Jednak zagrożenia takie jak DUCKTAIL mogą powodować znaczne szkody finansowe i wizerunkowe, dlatego nie powinny być pomijane — powiedział Paolo Palumbo, wiceprezes w WithSecure Intelligence. Podkreśla przy tym, że w związku ze zwiększoną aktywnością wietnamskich cyberprzestępców, należy spodziewać się wzrostów incydentów związanych z działalnością grupy DUCKTAIL w najbliższej przyszłości.
Nawet kilkaset tysięcy dolarów strat
Firma WithSecure pomogła już firmom, które padły ofiarą ataków na plaformie Facebook Ads lub Business. Wówczas straty wahały się od niewielkich kwot do 600 tys. dolarów kredytu na kontach reklamowych. Kluczowym problemem w takiej sytuacji jest brak rozdzielenia kont osobistych i biznesowych.
— Używanie tych samych zasobów zarówno do celów osobistych, jak i służbowych może rodzić problemy. Na przykład zbadanie ewentualnego incydentu DUCKTAIL może wymagać dostępu do logów dotyczących historii konta danej osoby, a to może mieć wiele nieprzewidzianych konsekwencji operacyjnych, etycznych czy prawnych. Problem ten dotyczy firm i ich pracowników, więc obie strony muszą mieć świadomość ryzyka — wyjaśnia John Rogers, globalny szef działu reagowania na incydenty WithSecure.
Jak się bronić?
Eksperci z firmy WithSecure przestrzegają przed cyberatakami i w celu ochrony przed nimi sugerują m. in. zwiększenie świadomości na temat phishingu, stworzenie listy dozwolonych aplikacji by zapobiec uruchamianiu przez użytkowników nieznanych plików, wykorzystywanie rozwiązań typu EDR/EPP (Endpoint Detection Response/End Point Protection) do zapobiegania i wykrywania złośliwego oprogramowania na wczesnych etapach ataku.
Istotne jest również upewnienie się, że urządzenia na których używane są firmowe konta Facebook są wyposażone w podstawowe środki ochrony oraz korzystanie z trybu prywatnego, aby uwierzytelnić każdą sesję roboczą podczas uzyskiwania dostępu do konta Facebook Business. Eksperci podkreślają również, że niezwykle istotne jest przestrzeganie zalecanych przez firmę Meta praktyk bezpieczeństwa i jak najszybsze pobieranie i analizowanie logów w przypadku zauważenia podejrzanego incydentu.
RB
Czytaj dalej:
