Malware Ductail Menargetkan Akun Bisnis dan Iklan Facebook dalam Kampanye Tebaru

Cyberthreat.id – Perusahaan keamanan siber asal Finlandia, WithSecure mengungkapkan bahwa pihaknya baru-baru ini melihat malware infostealer Ducktail telah menargetkan akun bisnis dan akun iklan facebook.

“Aktor ancaman menargetkan individu dan karyawan yang mungkin memiliki akses ke akun Facebook Business dengan malware pencuri informasi,” kata WithSecure.

Dikutip dari The Hacker News, WithSecure mengatakan, malware ini dirancang untuk mencuri cookie browser dan memanfaatkan sesi Facebook yang diautentikasi untuk mencuri informasi dari akun Facebook korban. Hingga akhirnya membajak akun Facebook Business yang aksesnya cukup oleh korban.

Serangan, yang dikaitkan dengan aktor ancaman Vietnam, dikatakan telah dimulai pada paruh kedua tahun 2021, dengan target utama adalah individu dengan peran manajerial, pemasaran digital, media digital, dan sumber daya manusia di perusahaan.

Idenya adalah untuk menargetkan karyawan dengan akses tingkat tinggi ke akun Facebook Business yang terkait dengan organisasi mereka, dan menipu mereka agar mengunduh informasi iklan Facebook yang dihosting di Dropbox, Apple iCloud, dan MediaFire.

“Dalam beberapa kasus, file arsip yang berisi muatan berbahaya juga dikirimkan ke korban melalui LinkedIn, yang pada akhirnya memungkinkan penyerang mengambil alih akun Facebook Business,” kata perusahaan.

Malware pencuri informasi yang ditulis dalam .NET Core, biner direkayasa untuk menggunakan Telegram untuk perintah-dan-kontrol dan eksfiltrasi data. WithSecure mengatakan telah mengidentifikasi delapan saluran Telegram yang digunakan untuk tujuan ini.

Perusahaan mengatakan, malware ini bekerja dengan memindai browser yang diinstal seperti Google Chrome, Microsoft Edge, Brave Browser, dan Mozilla Firefox untuk mengekstrak semua cookie yang disimpan dan token akses, di samping mencuri informasi dari akun Facebook pribadi korban seperti nama, alamat email, tanggal lahir, dan ID pengguna.

Tidak hanya itu saja, malware ini juga berusaha mengambil data dari bisnis dan akun iklan yang terhubung ke akun pribadi korban. Hal ini tentu memungkinkan aktor ancaman untuk membajak akun dengan menambahkan alamat email yang dikendalikan aktor yang diambil dari saluran Telegram dan memberikan akses editor Admin dan Keuangan kepada diri mereka sendiri.

Sementara pengguna dengan peran Admin memiliki kontrol penuh atas akun Facebook Business, pengguna dengan izin editor Keuangan dapat mengedit informasi kartu kredit bisnis dan detail keuangan seperti transaksi, faktur, pembelanjaan akun, dan metode pembayaran.

“Data vTelemetri yang dikumpulkan oleh WithSecure menunjukkan pola penargetan global yang mencakup sejumlah negara, termasuk Filipina, India, Arab Saudi, Italia, Jerman, Swedia, dan Finlandia,” kata perusahaan.

“Untuk menghadapi serangan ini, administrator Facebook Business disarankan untuk meninjau izin akses mereka dan menghapus pengguna yang tidak dikenal untuk mengamankan akun,” tutup perusahaan.