متسللون فيتناميون يستهدفون حسابات الأعمال على فيسبوك باستخدام التسويق الخبيث.

متسللون فيتناميون يستهدفون حسابات الأعمال على فيسبوك باستخدام التسويق الخبيث. يستغل المهاجمون المارقة في بيئة الجريمة الإلكترونية الفيتنامية ميزة “الإعلانات كعامل جذب” على منصات التواصل الاجتماعي مثل فيسبوك المملوكة لشركة ميتاستارز لتوزيع البرامج الضارة.

قال الباحث في WithSecure محمد كاظم حسن Nejad: “لطالما استخدم المهاجمون الإعلانات الاحتيالية كعامل جذب لاستهداف الضحايا بعمليات احتيال وبرامج ضارة ومزيد من ذلك”. “ومع قيام الشركات الآن باستغلال reach من وسائل التواصل الاجتماعي للإعلان. فإن المهاجمين لديهم نوع جديد من الهجمات المربح للغاية لإضافته إلى ترسانتهم – اختراق حسابات الأعمال.”

أصبحت هجمات القرصنة التي تستهدف حسابات Meta Business و Facebook شائعة في العام الماضي. بفضل مجموعات النشاط مثل Ducktail و NodeStealer المعروفة بمضايقة الشركات والأفراد الذين يعملون على Facebook.

من بين الأساليب التي يتبعها المهاجمون الإلكترونيون للوصول غير authorized إلى حسابات المستخدمين. تلعب الهندسة الاجتماعية دورًا significant.

يتم approach الضحايا من خلال منصات مختلفة تتراوح من Facebook و LinkedIn إلى WhatsApp ومنصات الوظائف المستقلة مثل Upwork. ومن المعروف أيضًا أن أحد آليات التوزيع هو استخدام تسميم محركات البحث لتعزيز البرامج الضارة المزيفة مثل CapCut و Notepad++ و OpenAI ChatGPT و Google Bard و Meta Threads.

ماهو العنصر المشترك بين هذه المجموعات.

هو إساءة استخدام خدمات تقصير الروابط و Telegram للتحكم في الأوامر والسيطرة (C2) والخدمات السحابية المشروعة مثل Trello و Discord و Dropbox و iCloud و OneDrive و Mediafire لاستضافة الحمولة الضارة.

على سبيل المثال. يستغل الفاعلون وراء Ducktail الإغراءات المتعلقة بمشاريع العلامة التجارية والتسويق لاختراق الأفراد والشركات التي تعمل على منصة Business التابعة لشركة Meta. مع موجات هجوم جديدة تستخدم موضوعات تتعلق بالوظيفة والتوظيف لتنشيط الإصابة.

في هذه الهجمات. يتم توجيه الtargets المحتملين إلى وظائف زائفة على Upwork و Freelancer من خلال إعلانات Facebook أو LinkedIn InMail. والتي تحتوي بدورها على رابط إلى ملف وصف وظيفة مفخخ hosted على أحد مزودي التخزين السحابي المذكورين أعلاه. مما يؤدي ultimately إلى نشر برنامج Ducktail stealer.

قال باحثو ThreatLabz في Zscaler Sudeep Singh و Naveen Selvan في analysis متوازي: “تقوم Ducktail malware بسرقة ملفات تعريف ارتباط الجلسة المحفوظة في المتصفحات. مع رمز مخصص خصيصًا لتجاوز حسابات الأعمال على Facebook”. مشيرين إلى أن الحسابات تباع في أي مكان من $15 إلى $340.

“تغذي ‘منتجات’ العملية (أي حسابات وسائل التواصل الاجتماعي المخترقة) اقتصادًا underground لحسابات وسائل التواصل الاجتماعي المسروقة. حيث يعرض العديد من البائعين حسابات بأسعار محددة وفقًا ل perceived فائدة النشاط الضار.”

تضمنت تسلسلات الإصابة التي لوحظت بين فبراير ومارس 2023 استخدام ملفات اختصار و PowerShell لdownload و launch البرنامج الضاريبي النهائي. مما يوضح استمرار المهاجمين في تطوير تكتيكاتهم.

يمتد التجريب أيضًا إلى السارق. الذي تم تحديثه لحصاد معلومات شخصية للمستخدم من X (المعروف سابقًا باسم Twitter) و TikTok Business و Google Ads. وكذلك الاستفادة من ملفات تعريف ارتباط جلسة Facebook المسروقة لإنشاء إعلانات احتيالية بطريقة آلية والحصول على امتيازات عالية لأداء إجراءات أخرى.

الطريقة الأساسية المستخدمة ل takeover حساب الضحية المخترق هي عن طريق إضافة عنوان بريدهم الإلكتروني الخاص إلى ذلك الحساب. ثم تغيير كلمة المرور وعنوان البريد الإلكتروني لحساب Facebook الخاص بالضحية لقفلهم عن الخدمة.

قال WithSecure:

“ميزة جديدة أخرى لوحظت في عينات Ducktail منذ (على الأقل) يوليو 2023 هي استخدام RestartManager (RM) لقتل العمليات التي تقف في طريق قواعد بيانات المتصفحات”. “غالبًا ما توجد هذه القدرة في برامج الفدية حيث لا يمكن تشفير الملفات التي يتم استخدامها بواسطة العمليات أو الخدمات.”

علاوة على ذلك. يتم حجب ال payload النهائي باستخدام loader لفك تشفيره وتنفيذه ديناميكيًا في وقت التشغيل في محاولة لتضمين تقنيات تهدف إلى زيادة تعقيد التحليل وتجنب الكشف.

بعض من الأساليب الأخرى التي يتبعها الفاعل threat لتثبيط.

متسللون فيتناميون يستهدفون حسابات الأعمال على فيسبوك باستخدام التسويق الخبيث. كما تابعً على Facebook لقراءة المزيد من المحتوى الحصري الذي ننشره.