Gli attacchi informatici che prendono di mira gli account Meta Business e Facebook stanno guadagnando popolarità tra i criminali in Vietnam, secondo un nuovo rapporto pubblicato da WithSecure™ (precedentemente nota come F-Secure Business).
Secondo il rapporto, WithSecure™ Intelligence ha osservato e sta attualmente monitorando numerosi gruppi che prendono di mira queste piattaforme. Gli attacchi manipolano un individuo con accesso all’account preso di mira per farlo infettare con un malware che ruba le informazioni.
Gli attaccanti manipolano le vittime per indurle a scaricare il malware utilizzando esche condivise tramite email, social media o mezzi simili. I temi comuni alle esche osservate dai ricercatori in questi attacchi includono argomenti di tendenza (come ChatGPT), software popolari (come Notepad++), opportunità di lavoro (come annunci di lavoro o proposte di progetti) e informazioni sulle piattaforme pubblicitarie (come i tool di Ads Manager).
Dopo l’infezione, il malware ruba varie informazioni, tra cui i cookie di sessione di Facebook e le credenziali di accesso, consentendo all’attaccante di accedere all’account preso di mira. Alcuni malware possono anche dirottare gli account ed eseguire automaticamente annunci fraudolenti attraverso il computer della vittima.
L’accesso a questi account offre agli attaccanti una serie di opportunità di guadagno, come l’estorsione, la diffamazione o, più in particolare, l’invio di pubblicità fraudolente utilizzando il denaro/credito dell’organizzazione vittima.
“Questi gruppi spesso vendono annunci ad altri criminali informatici, a pagamento o con una partecipazione alle operazioni. Questo li rende una sorta di facilitatori per altri criminali informatici, che in ultima analisi danneggiano le aziende, la piattaforma e gli utenti. Inoltre, possono vendere molte delle informazioni che riescono a rubare, il che rappresenta un’ulteriore fonte di guadagno e causa ulteriori problemi alle vittime”, dichiara il ricercatore di WithSecure™ Mohammad Kazem Hassan Nejad, autore del rapporto.
Oltre a fornire una panoramica del problema, il rapporto analizza due minacce coinvolte in questi attacchi.
La prima, DUCKTAIL, è una minaccia che WithSecure™ Intelligence ha monitorato per circa un anno e mezzo. I ricercatori hanno riscontrato un’impennata significativa nell’attività di DUCKTAIL negli ultimi 6 mesi, oltre a diversi sviluppi degni di nota nell’operazione. Alcune delle evoluzioni più significative osservate includono il targeting degli account pubblicitari X/Twitter, un maggiore uso di tecniche di evasione/anti-analisi per evitare il rilevamento e altro ancora.
La seconda minaccia descritta nel rapporto, DUCKPORT, è stata scoperta da WithSecure™ Intelligence nel marzo 2023. Esistono notevoli sovrapposizioni tra DUCKTAIL e DUCKPORT, ma anche differenze significative che, secondo i ricercatori, ne giustificano il monitoraggio come minaccia separata. Alcune capacità esclusive di DUCKPORT includono la capacità di fare screenshot, di abusare dei servizi di condivisione di note online come parte della sua catena di comando e controllo, e molte altre descritte nel rapporto.
Secondo Neeraj Singh di WithSecure, Senior Security Researcher che ha partecipato alla ricerca, il coinvolgimento di gruppi diversi ma simili è indicativo di un certo livello di impegno tra gli avversari che operano in questo spazio.
“Questi diversi gruppi potrebbero attingere alle competenze di un pool di talenti comune, oppure potrebbero operare all’interno di un quadro di condivisione delle informazioni per scambiare strumenti e intuizioni sulle strategie efficaci. Inoltre, non si può trascurare il potenziale coinvolgimento di un intermediario che offra servizi specializzati simili al modello ransomware-as-a-service. Tuttavia, è evidente che lo spazio sta crescendo, il che indica un livello di successo raggiunto con questi attacchi”, conclude.
