Ataques cibernéticos direcionados ao gerenciador de negócios Meta Business Suite e às contas do Facebook estão ganhando popularidade entre cibercriminosos no Vietnã, de acordo com um novo relatório publicado pela WithSecure (ex-F-Secure). A equipe de pesquisadores de segurança da WithSecure Intelligence observou um número crescente de grupos cibercriminosos que visam essas plataforma e detectaram que eles se originam e operam principalmente naquele país do sudeste asiático.
Normalmente, esses hackers utilizam uma variedade de temas de atração (envolvendo nomes como ChatGPT da OpenAI, Bard do Google, softwares populares como o Notepad++ ou até mesmo oportunidades de emprego e publicidade), compartilhados por e-mail, mídia social ou meios semelhantes para manipular suas vítimas para que se infectem com malware ladrão de informações.
Após a infecção, o malware rouba diversas informações, incluindo cookies de sessão do Facebook e credenciais de login, dando ao invasor acesso à conta visada. Alguns implantes de malware também podem sequestrar contas e exibir anúncios fraudulentos automaticamente por meio da máquina da vítima.
O acesso a essas contas oferece aos invasores diversas oportunidades de ganhar dinheiro, como extorsão, difamação ou, mais notavelmente, veicular anúncios fraudulentos usando o dinheiro/crédito da empresa da vítima.
Geralmente, esses grupos vendem anúncios a outros cibercriminosos, seja por uma taxa ou por uma participação nas operações, descreveu um dos autores do relatório. “Isso os torna uma espécie de facilitadores para outros cibercriminosos, o que acaba prejudicando as empresas, a plataforma e os usuários. Além disso, eles podem vender muitas das informações que conseguem roubar, o que fornece uma fonte adicional de receita e causa mais problemas às vítimas”, disse ele.
O relatório analisa dois grupos de ameaças envolvidos nesses ataques: o Ducktail e o Duckport. O Ducktail, monitorado pela WithSecure há aproximadamente um ano e meio — com um pico de atividade nos últimos seis meses —, recentemente começou a direcionar contas de publicidade no X (anteriormente Twitter) junto com o Meta Business Ads. O grupo de ameaças também aprimorou suas técnicas de evasão e antianálise para evitar a detecção, acrescentou o relatório.
Já o Duckport foi descoberto pela WithSecure Intelligence em março deste ano. Embora se pareça muito com o Ducktail, também inclui recursos exclusivos, como a capacidade de fazer capturas de tela ou abusar de serviços de compartilhamento de notas online como parte de sua cadeia de comando e controle.
Veja isso
Páginas verificadas do Facebook usadas para disseminar malware
Falha no Facebook e Instagram permite ignorar autenticação 2FA
De acordo com Neeraj Singh da WithSecure, que participou da pesquisa, o envolvimento de grupos diferentes, mas semelhantes, indica um certo nível de envolvimento entre os cibercriminosos que operam neste espaço. “Esses vários grupos podem estar buscando conhecimento de um pool de talentos comum, ou estar operando dentro de uma estrutura de compartilhamento de informações para trocar ferramentas e insights sobre estratégias eficazes. Além disso, o envolvimento potencial de um intermediário que oferece serviços especializados semelhantes ao ransomware como serviço não pode ser desconsiderado. Porém, é evidente que o espaço está crescendo, apontando para um nível de sucesso alcançado com esses ataques”, afirmou.
A Meta é a segunda maior plataforma de publicidade em termos de receita publicitária globalmente, respondendo por 23,8% do mercado publicitário mundial, de acordo com dados de maio da Statista. “Este sucesso atrai naturalmente agentes de ameaças que esperam abusar da plataforma”, comentou o relatório.