Во вторник компания WithSecure Intellegence сообщила об атаках Ducktail на платформу Facebook * Business/Ads. По словам экспертов, группировка состоит из финансово мотивированных хакеров, активных с 2018 года, которые в 2021 году начали первые атаки на Facebook*.
В официальном отчете компании сказано, что специалистам не удалось обнаружить удачные или неудачные попытки обхода систем безопасности платформы. Однако известно одно – Ducktail продолжает улучшать и распространять свое вредоносное ПО.
По словам экспертов, злоумышленники нацелены на захват бизнес-аккаунтов и кражу информации. Хакеры обманывают сотрудников, заманивая их на файлообменники, где хранится вредоносное ПО, замаскированное под файл, как-то связанный с организацией жертвы. Стоит отметить, что группировка не привязана к какому-то региону и атакует жертв по всему миру: в Европе, на Ближнем Востоке, в Африке и Северной Америке.
Вредонос от Ducktail работает так:
Оказавшись в системе жертвы, вредонос ищет cookie-файлы и токены Facebook* в браузерах Google Chrome, Microsoft Edge, Brave Browser и Firefox;
Если cookie-файлы были обнаружены, инфостилер напрямую взаимодействует с различными конечными точками Facebook* с компьютера жертвы, используя cookie-файл сеанса Facebook* (и учетные данные, полученные с помощью cookie), чтобы украсть информацию из аккаунта жертвы.
Если аккаунт жертвы был успешно взломан, вредонос похищает ее личные и платежные данные. Кроме того, Ducktail пытается добавить адрес электронной почты злоумышленника в списки электронных адресов организаций, в которых работает жертва.
В конце атаки все украденные данные отправляются хакерам через Telegram. Получив нужную информацию, злоумышленники пытаются купить рекламу, размещенную другими компаниями.
* Внесена в перечень общественных объединений и религиозных организаций, в отношении которых судом принято вступившее в законную силу решение о ликвидации или запрете деятельности по основаниям, предусмотренным Федеральным законом от 25.07.2002 № 114-ФЗ «О противодействии экстремистской деятельности».
Источник: SecurityLab