-
09/04/2020
-
85
-
553 bài viết
Mã độc Ducktail nhắm mục tiêu tài khoản quảng cáo và Facebook Business
Các tài khoản doanh nghiệp và quảng cáo của Facebook đang hứng chịu đợt tấn công từ chiến dịch độc hại có tên Ducktail, được thiết kế để chiếm quyền kiểm soát hệ thống phục vụ các mục tiêu tài chính.
Công ty an ninh mạng WithSecure của Phần Lan cho biết: “Hacker nhắm mục tiêu lây nhiễm phần mềm độc hại đánh cắp thông tin vào các cá nhân có quyền truy cập vào tài khoản Facebook Business”.
"Phần mềm độc hại được thiết kế để đánh cắp cookie của trình duyệt và lợi dụng các phiên Facebook đã xác thực để đánh cắp thông tin từ tài khoản Facebook của nạn nhân. Cuối cùng là chiếm đoạt bất kỳ tài khoản Facebook Business nào mà nạn nhân có đủ quyền truy cập”.
Chiến dịch được cho là bắt đầu từ nửa cuối năm 2021 và đứng sau là một hacker Việt Nam. Mục tiêu chính của hacker là các cá nhân có vai trò quản lý, tiếp thị kỹ thuật số, truyền thông kỹ thuật số và nhân sự trong các công ty.
Cụ thể là các nhân viên có đặc quyền truy cập cao vào tài khoản Facebook Business được liên kết với tổ chức doanh nghiệp bị lừa tải xuống thông tin quảng cáo Facebook lưu trữ trên Dropbox, iCloud của Apple và MediaFire.
Trong một số trường hợp, tệp lưu trữ chứa payload độc hại được gửi đến nạn nhân thông qua LinkedIn. Cuối cùng cho phép kẻ tấn công chiếm đoạt bất kỳ tài khoản Facebook Business.
Phần mềm độc hại đánh cắp thông tin được viết bằng nền tảng .NET Core, một tệp nhị phân được thiết kế để sử dụng Telegram để ra lệnh và kiểm soát, đồng thời trích xuất dữ liệu. WithSecure đã xác định được 8 kênh Telegram được sử dụng cho mục đích này.
Mã độc hoạt động bằng cách quét các trình duyệt đã cài đặt như Google Chrome, Microsoft Edge, Brave Browser và Mozilla Firefox để trích xuất tất cả cookie được lưu trữ và mã thông báo truy cập, đồng thời lấy cắp thông tin từ tài khoản Facebook cá nhân của nạn nhân như tên, địa chỉ email, ngày sinh và ID người dùng.
Ngoài ra, dữ liệu từ các tài khoản doanh nghiệp và quảng cáo được kết nối với tài khoản cá nhân của nạn nhân cũng bị kẻ xấu chiếm đoạt bằng cách thêm địa chỉ email được lấy từ kênh Telegram và tự cấp quyền truy cập với vai trò biên tập viên hoặc quản trị viên.
Mặc dù người dùng có vai trò quản trị viên toàn quyền kiểm soát tài khoản Facebook Business, nhưng vai trò biên tập viên cũng có thể chỉnh sửa thông tin thẻ tín dụng doanh nghiệp và các thông tin tài chính khác như giao dịch, hóa đơn, chi tiêu tài khoản và phương thức thanh toán.
Dữ liệu WithSecure thu thập được cho thấy hacker nhắm mục tiêu toàn cầu bao gồm một số quốc gia như Philippines, Ấn Độ, Ả Rập Xê Út, Ý, Đức, Thụy Điển và Phần Lan. WithSecure cũng cho biết rất khó để xác định có bao nhiêu người dùng bị ảnh hưởng.
Các quản trị viên của Facebook Business nên kiểm tra lại các quyền truy cập và xóa những thông tin người dùng đáng ngờ để bảo mật tài khoản.
Một báo cáo khác cho thấy kẻ xấu đang gia tăng tấn công các ứng dụng nhắn tin như Discord và Telegram, lạm dụng các tính năng tự động hóa để phát tán phần mềm độc hại hoặc thực hiện các mục tiêu cho hoạt động xấu khác.
Intel 471 cho biết: "Tội phạm mạng đã tìm ra cách sử dụng các nền tảng này để lưu trữ, phân phối và thực thi các chức năng khác nhau mà cuối cùng cho phép chúng đánh cắp thông tin xác thực hoặc thông tin khác từ người dùng.”
Công ty an ninh mạng WithSecure của Phần Lan cho biết: “Hacker nhắm mục tiêu lây nhiễm phần mềm độc hại đánh cắp thông tin vào các cá nhân có quyền truy cập vào tài khoản Facebook Business”.
"Phần mềm độc hại được thiết kế để đánh cắp cookie của trình duyệt và lợi dụng các phiên Facebook đã xác thực để đánh cắp thông tin từ tài khoản Facebook của nạn nhân. Cuối cùng là chiếm đoạt bất kỳ tài khoản Facebook Business nào mà nạn nhân có đủ quyền truy cập”.
Chiến dịch được cho là bắt đầu từ nửa cuối năm 2021 và đứng sau là một hacker Việt Nam. Mục tiêu chính của hacker là các cá nhân có vai trò quản lý, tiếp thị kỹ thuật số, truyền thông kỹ thuật số và nhân sự trong các công ty.
Cụ thể là các nhân viên có đặc quyền truy cập cao vào tài khoản Facebook Business được liên kết với tổ chức doanh nghiệp bị lừa tải xuống thông tin quảng cáo Facebook lưu trữ trên Dropbox, iCloud của Apple và MediaFire.
Trong một số trường hợp, tệp lưu trữ chứa payload độc hại được gửi đến nạn nhân thông qua LinkedIn. Cuối cùng cho phép kẻ tấn công chiếm đoạt bất kỳ tài khoản Facebook Business.
Phần mềm độc hại đánh cắp thông tin được viết bằng nền tảng .NET Core, một tệp nhị phân được thiết kế để sử dụng Telegram để ra lệnh và kiểm soát, đồng thời trích xuất dữ liệu. WithSecure đã xác định được 8 kênh Telegram được sử dụng cho mục đích này.
Mã độc hoạt động bằng cách quét các trình duyệt đã cài đặt như Google Chrome, Microsoft Edge, Brave Browser và Mozilla Firefox để trích xuất tất cả cookie được lưu trữ và mã thông báo truy cập, đồng thời lấy cắp thông tin từ tài khoản Facebook cá nhân của nạn nhân như tên, địa chỉ email, ngày sinh và ID người dùng.
Ngoài ra, dữ liệu từ các tài khoản doanh nghiệp và quảng cáo được kết nối với tài khoản cá nhân của nạn nhân cũng bị kẻ xấu chiếm đoạt bằng cách thêm địa chỉ email được lấy từ kênh Telegram và tự cấp quyền truy cập với vai trò biên tập viên hoặc quản trị viên.
Mặc dù người dùng có vai trò quản trị viên toàn quyền kiểm soát tài khoản Facebook Business, nhưng vai trò biên tập viên cũng có thể chỉnh sửa thông tin thẻ tín dụng doanh nghiệp và các thông tin tài chính khác như giao dịch, hóa đơn, chi tiêu tài khoản và phương thức thanh toán.
Dữ liệu WithSecure thu thập được cho thấy hacker nhắm mục tiêu toàn cầu bao gồm một số quốc gia như Philippines, Ấn Độ, Ả Rập Xê Út, Ý, Đức, Thụy Điển và Phần Lan. WithSecure cũng cho biết rất khó để xác định có bao nhiêu người dùng bị ảnh hưởng.
Các quản trị viên của Facebook Business nên kiểm tra lại các quyền truy cập và xóa những thông tin người dùng đáng ngờ để bảo mật tài khoản.
Một báo cáo khác cho thấy kẻ xấu đang gia tăng tấn công các ứng dụng nhắn tin như Discord và Telegram, lạm dụng các tính năng tự động hóa để phát tán phần mềm độc hại hoặc thực hiện các mục tiêu cho hoạt động xấu khác.
Intel 471 cho biết: "Tội phạm mạng đã tìm ra cách sử dụng các nền tảng này để lưu trữ, phân phối và thực thi các chức năng khác nhau mà cuối cùng cho phép chúng đánh cắp thông tin xác thực hoặc thông tin khác từ người dùng.”
Theo TheHackerNews
Chỉnh sửa lần cuối: