Malware rouba contas comerciais e de anúncios do Facebook

Da Redação
27/07/2022

O Facebook estão sendo alvo de uma operação cibercriminosa chamada Ducktail, que tem como objetivo assumir o controle de contas comerciais e de publicidade da rede social para roubo financeiro. “O operador da ameaça descarrega um malware para roubar informações de funcionários que podem ter acesso a uma conta do Facebook Business”, alerta a empresa finlandesa de segurança cibernética WithSecure — anteriormente chamada F-Secure, em um novo relatório.

“O malware foi projetado para roubar cookies do navegador e aproveitar as sessões autenticadas do Facebook para obter informações da conta da vítima e, finalmente, sequestrar qualquer conta do Facebook Business à qual ela tenha acesso”, diz a empresa.

Os ataques, atribuídos a um hacker vietnamita, teriam começado no segundo semestre do ano passado, com os principais alvos sendo indivíduos com funções gerenciais, de marketing digital, mídia digital e recursos humanos em empresas.

A ideia é segmentar funcionários com acesso de alto nível às contas do Facebook Business associadas às suas organizações, induzindo-os a baixar supostas informações de publicidade do Facebook hospedadas no Dropbox, Apple iCloud e MediaFire. Em alguns casos, o arquivo que contém a carga maliciosa também é entregue às vítimas por meio do LinkedIn, permitindo que o invasor assuma qualquer conta do Facebook Business.

O malware, escrito em .NET Core, tem o binário projetado para usar o Telegram para comando e controle e exfiltração de dados. A WithSecure disse que identificou oito canais do Telegram que foram usados ​​para esse fim. Ele funciona verificando navegadores instalados, como Google Chrome, Microsoft Edge, Brave Browser e Mozilla Firefox, para extrair todos os cookies e tokens de acesso armazenados, além de roubar informações da conta pessoal da vítima no Facebook, como nome, endereço de e-mail, data de nascimento e ID do usuário.

Veja isso
Vazamento do Facebook pegou 8.064.916 usuários brasileiros
Falha de cookies do Facebook permitiu acesso à sua rede interna

Também são saqueados dados de empresas e contas de anúncios conectadas à conta pessoal da vítima, permitindo que o cibercriminoso sequestre as contas adicionando um endereço de e-mail controlado pelo ator recuperado do canal Telegram e concedendo a si mesmo acesso ao editor de administração e finanças.

Embora os usuários com funções de administrador tenham controle total sobre a conta comercial do Facebook, os usuários com permissões de editor de finanças podem editar informações de cartão de crédito comercial e detalhes financeiros, como transações, faturas, gastos da conta e métodos de pagamento.

Os dados de telemetria coletados pelo WithSecure mostram um padrão de segmentação global abrangendo vários países, incluindo Filipinas, Índia, Arábia Saudita, Itália, Alemanha, Suécia e Finlândia.

A empresa diz que “não foi possível determinar o sucesso ou não” da campanha Ducktail, acrescentando que não conseguiu determinar quantos usuários foram potencialmente afetados.Os administradores do Facebook Business são aconselhados a revisar suas permissões de acesso e remover quaisquer usuários desconhecidos para proteger as contas.

Compartilhar: