Хакеры Ducktail и Duckport похищают бизнес-аккаунты в Facebook

[Artifact]

Фальшивые вакансии на Upwork и Freelancer как средство распространения вредоносного ПО.
ИБ-специалисты из компаний WithSecure и Zscaler ThreatLabz заявляют о растущей угрозе со стороны вьетнамского киберпреступного синдиката, который активно использует рекламные кампании в Facebook * для распространения вредоносного ПО.
По словам экспертов, мошенники давно применяют поддельные объявления для атак на пользователей с целью распространения афер и вредоносного ПО. С появлением социальных сетей и их активным использованием бизнесом для рекламы, у злоумышленников появился новый прибыльный способ атак — захват бизнес-аккаунтов.
Особенно актуальной проблема стала в течение последнего года на Facebook. Атакам подвергаются как рядовые пользователи, так и владельцы бизнес-аккаунтов. Ответственность за атаки несут такие группировки из Вьетнама, как Ducktail и Duckport.
Злоумышленники применяют разнообразные методы для получения несанкционированного доступа к аккаунтам пользователей. Особенно активно используется социальная инженерия: жертвы подвергаются атакам через различные платформы, включая Facebook, LinkedIn ** и WhatsApp, а также через фриланс-площадки, такие как Upwork.

Общими чертами указанных групп киберпреступников являются применение сервисов сокращения ссылок, использование Telegram для управления и контроля зараженных устройств, а также облачных сервисов типа Trello, Discord, Dropbox для размещения вредоносных файлов.
Одним из наиболее активных и опасных участников этого нелегального бизнеса является группа Ducktail. Она использует различные методы для распространения своего вредоносного ПО, включая обман через фальшивые вакансии на Upwork и Freelancer. После перехода по ссылке жертва скачивает зараженный файл, который впоследствии устанавливает вредоносное ПО Ducktail.
Группа специализируется на краже сохраненных куки-файлов из браузеров с целью последующего захвата бизнес-аккаунтов на Facebook, которые затем продаются на черном рынке по ценам от $15 до $340.
Хакеры постоянно модифицируют свои методы и инструменты. Недавно в Ducktail была добавлена функция, позволяющая уничтожать процессы, блокирующие базы данных браузеров. Такая функция часто встречается в вымогательском ПО, поскольку файлы, используемые процессами или службами, не могут быть зашифрованы.
Кроме Ducktail, на арене появился новый игрок — Duckport. Этот «клон» Ducktail, активный с марта 2023 года, также специализируется на краже данных и захвате аккаунтов в Facebook.
Эксперты из WithSecure предупреждают, что подобные пересечения между различными субъектами угрозы указывают на активные рабочие отношения группировок и формирование во Вьетнаме разветвленной киберпреступной экосистемы. Исследование специалистов является серьезным напоминанием о необходимости повышенной осторожности при взаимодействии с рекламными и другими видами сообщений в соцсетях, особенно для владельцев бизнес-аккаунтов.