Утиные истории: хакеры Ducktail и Duckport похищают бизнес-аккаунты в Facebook

ИБ-специалисты из компаний WithSecure и Zscaler ThreatLabz заявляют о растущей угрозе со стороны вьетнамского киберпреступного синдиката, который активно использует рекламные кампании в Facebook * для распространения вредоносного ПО.

По словам экспертов, мошенники давно применяют поддельные объявления для атак на пользователей с целью распространения афер и вредоносного ПО. С появлением социальных сетей и их активным использованием бизнесом для рекламы, у злоумышленников появился новый прибыльный способ атак — захват бизнес-аккаунтов.

Особенно актуальной проблема стала в течение последнего года на Facebook. Атакам подвергаются как рядовые пользователи, так и владельцы бизнес-аккаунтов. Ответственность за атаки несут такие группировки из Вьетнама, как Ducktail и Duckport.

Злоумышленники применяют разнообразные методы для получения несанкционированного доступа к аккаунтам пользователей. Особенно активно используется социальная инженерия: жертвы подвергаются атакам через различные платформы, включая Facebook, LinkedIn ** и WhatsApp , а также через фриланс-площадки, такие как Upwork.

Общими чертами указанных групп киберпреступников являются применение сервисов сокращения ссылок, использование Telegram для управления и контроля зараженных устройств, а также облачных сервисов типа Trello , Discord , Dropbox для размещения вредоносных файлов.

Одним из наиболее активных и опасных участников этого нелегального бизнеса является группа Ducktail. Она использует различные методы для распространения своего вредоносного ПО, включая обман через фальшивые вакансии на Upwork и Freelancer. После перехода по ссылке жертва скачивает зараженный файл, который впоследствии устанавливает вредоносное ПО Ducktail.

Группа специализируется на краже сохраненных куки-файлов из браузеров с целью последующего захвата бизнес-аккаунтов на Facebook, которые затем продаются на черном рынке по ценам от $15 до $340.

Хакеры постоянно модифицируют свои методы и инструменты. Недавно в Ducktail была добавлена функция, позволяющая уничтожать процессы, блокирующие базы данных браузеров. Такая функция часто встречается в вымогательском ПО, поскольку файлы, используемые процессами или службами, не могут быть зашифрованы.

Кроме Ducktail, на арене появился новый игрок — Duckport. Этот «клон» Ducktail, активный с марта 2023 года, также специализируется на краже данных и захвате аккаунтов в Facebook.

Эксперты из WithSecure предупреждают, что подобные пересечения между различными субъектами угрозы указывают на активные рабочие отношения группировок и формирование во Вьетнаме разветвленной киберпреступной экосистемы. Исследование специалистов является серьезным напоминанием о необходимости повышенной осторожности при взаимодействии с рекламными и другими видами сообщений в соцсетях, особенно для владельцев бизнес-аккаунтов.

* Компания Meta и её продукты (Instagram и Facebook) признаны экстремистскими, их деятельность запрещена на территории РФ.
** Социальная сеть запрещена на территории Российской Федерации.