Trwają ataki socjotechniczne na osoby i organizacje, które wykorzystują platformę Facebook/Meta Business Suite do kontaktowania się ze swoim klientami, zarządzania reklamami, budowania społeczności wokół marki. Operację wietnamskich przestępców analizuje firma WithSecure, która od lipca 2022 roku odpowiada za część biznesową podzielonej firmy F-Secure Corporation. Przestępcy koncentrują się na dystrybucji złośliwego systemu oraz automatycznych kampaniach, które dostosowują się do konkretnej ofiary (jest celowana wiadomość udająca ważne informacje_od_facebooka.exe).
Od lewej: wiadomość typu „SCAM” – udająca informacje od Facebooka. Po prawej: rozpakowane archiwum z plikami, jest też plik malware .EXE.W pierwszym etapie ataku realizowane jest wyszukiwanie profilów osób na LinkedIn, które mogą mieć uprzywilejowany dostęp do platformy Meta/Facebook Business Suite: osoby na stanowisku kierowniczym, pracownicy marketingu i działy zatrudniające.
Następnie wysyła się do nich wiadomości ze złośliwym oprogramowaniem – często są to linki do chmur Dropbox, Apple iCloud, MediaFire, co pozornie nie jest powiązane z Facebookiem. Malware jest opakowane w archiwum ZIP z plikami graficznymi oraz plikiem .PDF.EXE.
Na końcu złośliwe oprogramowanie potrafi wykradać ciasteczka z przeglądarek Chrome, Edge, Brave, Firefox. Zalogowane sesje są wykorzystywane do kradzieży kont na Facebooku – osoby zarządzające tracą dostęp do swoich kont, o ile nie są odpowiednio zabezpieczone przed włamaniami. W konsekwencji, przestępcy w imieniu firmy, mogą publikować niebezpieczne materiały: linki do trojanów, oszustw opartych na tematyce kryptowalut itp. Wczoraj dostęp do swojego konta na Twitterze utraciła firma z branży zabezpieczeń IT!
Ciekawostką techniczną jest wykorzystanie API komunikatora Telegram jako serwera C&C, do którego malware wysyła wykradzione pliki z komputerów ofiar.
Malware komunikuje się z utworzonym kontem bota na Telegramie poprzez interfejs API. Widzimy tutaj wykradzione pliki.PROSIMY, zwróćcie uwagę na zabezpieczenia kont internetowych, w szczególności na te, które są źródłem dochodu. Na Facebooku warto przejrzeć uprawnienia osób będących administratorami z dostępem do Facebook Business Suite i usunąć wszstkie nadmiarowe konta.
Aby kompleksowo zabezpieczyć konta społecznościowe, przeczytaj artykuł, który przygotowaliśmy na takie okazje. Zajrzyj też to naszych aktualnych promocji na klucze bezpieczeństwa Yubikey, które pomagają chronić konta przed utratą. Na pierwszej linii obrony zawsze powinien czuwać rekomendowany produkt antywirusowy. Nie wyobrażam sobie, aby prowadzić firmę bez tak podstawowego zabezpieczenia.
