Recentemente, è stato rivelato che attori malevoli associati all’ecosistema di cybercriminalità vietnamita stanno sfruttando la pubblicità come vettore su piattaforme di social media come Facebook, di proprietà di Meta, per distribuire malware. Mohammad Kazem Hassan Nejad, ricercatore di WithSecure, ha dichiarato: “Gli attori delle minacce hanno da tempo utilizzato annunci fraudolenti come vettore per prendere di mira le vittime con truffe, malvertising e altro. E con le aziende che ora sfruttano la portata dei social media per la pubblicità, gli aggressori hanno un nuovo tipo di attacco altamente redditizio da aggiungere al loro arsenale: l’assalto agli account aziendali.”
Attacchi mirati agli account Meta Business e Facebook
Gli attacchi informatici mirati agli account Meta Business e Facebook sono diventati popolari nell’ultimo anno, grazie a cluster di attività come Ducktail e NodeStealer, noti per attaccare aziende e individui che operano su Facebook. Tra i metodi utilizzati dai cybercriminali per ottenere accesso non autorizzato agli account degli utenti, l’ingegneria sociale gioca un ruolo significativo. Le vittime vengono contattate attraverso diverse piattaforme, da Facebook e LinkedIn a WhatsApp e portali di lavoro freelance come Upwork. Un altro meccanismo di distribuzione noto è l’uso del “search engine poisoning” per promuovere software fasulli come CapCut, Notepad++, OpenAI ChatGPT, Google Bard e Meta Threads.
Un elemento comune a questi gruppi è l’abuso di servizi di abbreviazione degli URL, Telegram per il comando e il controllo (C2) e servizi cloud legittimi come Trello, Discord, Dropbox, iCloud, OneDrive e Mediafire per ospitare i payload malevoli.
Il modus operandi di Ducktail
Gli attori dietro Ducktail, ad esempio, utilizzano esche legate a progetti di marca e marketing per infiltrarsi in individui e aziende che operano sulla piattaforma Business di Meta. In questi attacchi, i potenziali bersagli vengono indirizzati a post fasulli su Upwork e Freelancer tramite annunci su Facebook o LinkedIn InMail. Questi post contengono un link a un file di descrizione del lavoro trappola ospitato su uno dei fornitori di storage cloud sopra menzionati, che porta infine al dispiegamento del malware stealer Ducktail.
Il malware Ducktail ruba i cookie di sessione salvati dai browser, con un codice specificamente progettato per prendere il controllo degli account aziendali di Facebook. I ricercatori di Zscaler ThreatLabz, Sudeep Singh e Naveen Selvan, hanno notato in un’analisi parallela che gli account vengono venduti per un prezzo compreso tra $15 e $340.
L’evoluzione degli attacchi
Alcune sequenze di infezione osservate tra febbraio e marzo 2023 hanno coinvolto l’uso di file di collegamento e PowerShell per scaricare e avviare il malware finale, illustrando la continua evoluzione delle tattiche degli aggressori. L’esperimentazione si estende anche allo stealer, che è stato aggiornato per raccogliere le informazioni personali dell’utente da X (precedentemente Twitter), TikTok Business e Google Ads.
Ducktail è solo uno dei molti attori della minaccia vietnamita che sfruttano strumenti e tattiche condivisi per realizzare tali schemi fraudolenti. Questo include anche un imitatore di Ducktail chiamato Duckport, attivo da marzo 2023, che svolge attività di furto di informazioni insieme all’assalto all’account Meta Business. È essenziale che gli utenti siano consapevoli di tali minacce e adottino misure preventive per proteggere i loro account e dati.