Penjahat Siber Vietnam Targetkan Akun Bisnis Facebook dengan Malvertising
The Hacker News
Cyberthreat.id - Aktor jahat yang terkait dengan ekosistem kejahatan dunia maya di Vietnam memanfaatkan iklan sebagai vektor di platform media sosial seperti Facebook milik Meta untuk mendistribusikan malware.
“Para pelaku ancaman telah lama menggunakan iklan penipuan sebagai vektor untuk menargetkan korban penipuan, maliklan, dan banyak lagi,” kata peneliti WithSecure Mohammad Kazem Hassan Nejad kepada The Hacker News.
“Dan dengan bisnis yang kini memanfaatkan jangkauan media sosial untuk beriklan, para penyerang mempunyai jenis serangan baru yang sangat menguntungkan untuk ditambahkan ke dalam persenjataan mereka – membajak akun bisnis.”
Serangan dunia maya yang menargetkan akun Meta Business dan Facebook semakin populer selama setahun terakhir, berkat kelompok aktivitas seperti Ducktail dan NodeStealer yang diketahui menyerang bisnis dan individu yang beroperasi di Facebook.
Di antara metode yang digunakan oleh penjahat dunia maya untuk mendapatkan akses tidak sah ke akun pengguna, rekayasa sosial memainkan peran penting.
Korban didekati melalui berbagai platform mulai dari Facebook dan LinkedIn hingga WhatsApp dan portal pekerjaan freelance seperti Upwork.
Mekanisme distribusi lain yang diketahui adalah penggunaan keracunan mesin pencari untuk meningkatkan perangkat lunak palsu seperti CapCut, Notepad++, OpenAI ChatGPT, Google Bard, dan Meta Threads.
Salah satu elemen yang umum terjadi pada kelompok ini adalah penyalahgunaan layanan penyingkat URL, Telegram untuk perintah dan kontrol (C2), dan layanan cloud yang sah seperti Trello, Discord, Dropbox, iCloud, OneDrive, dan Mediafire untuk menampung muatan berbahaya.
Pelaku di balik Ducktail, misalnya, memanfaatkan umpan terkait merek dan proyek pemasaran untuk menyusup ke individu dan bisnis yang beroperasi di platform Bisnis Meta, dengan gelombang serangan baru yang menggunakan tema terkait pekerjaan dan rekrutmen untuk mengaktifkan infeksi.
Dalam serangan ini, target potensial diarahkan ke postingan palsu di Upwork dan Freelancer melalui iklan Facebook atau LinkedIn InMail, yang, pada gilirannya, berisi tautan ke file deskripsi pekerjaan jebakan yang dihosting di salah satu penyedia penyimpanan cloud yang disebutkan di atas, yang pada akhirnya menyebabkan untuk penyebaran malware pencuri Ducktail.
“Malware Ducktail mencuri cookie sesi yang disimpan dari browser, dengan kode yang dirancang khusus untuk mengambil alih akun bisnis Facebook,” peneliti Zscaler ThreatLabz, Sudeep Singh dan Naveen Selvan mencatat dalam analisis paralel, menyatakan bahwa akun tersebut dijual dengan harga antara $15 hingga $340.
"'Produk' dari operasi ini (yaitu akun media sosial yang diretas) memberi makan ekonomi bawah tanah dari akun media sosial yang dicuri, di mana banyak vendor menawarkan harga akun sesuai dengan kegunaannya untuk aktivitas jahat."
Urutan infeksi tertentu yang diamati antara bulan Februari dan Maret 2023 telah melibatkan penggunaan pintasan dan file PowerShell untuk mengunduh dan meluncurkan malware terakhir, yang menggambarkan evolusi taktik penyerang yang berkelanjutan.
Eksperimen ini juga meluas ke si pencuri, yang telah diperbarui untuk mengumpulkan informasi pribadi pengguna dari X (sebelumnya Twitter), TikTok Business, dan Google Ads, serta memanfaatkan cookie sesi Facebook yang dicuri untuk membuat iklan palsu secara otomatis dan mendapatkan hak istimewa yang lebih tinggi untuk melakukan tindakan lain.
Metode utama yang digunakan untuk mengambil alih akun korban yang disusupi adalah dengan menambahkan alamat email mereka sendiri ke akun tersebut, kemudian mengubah kata sandi dan alamat email akun Facebook korban untuk mengunci mereka dari layanan.
“Fitur baru lainnya yang diamati pada sampel Ducktail sejak (setidaknya) Juli 2023 adalah penggunaan RestartManager (RM) untuk mematikan proses yang mengunci database browser,” kata WithSecure.
“Kemampuan ini sering ditemukan pada ransomware karena file yang sedang digunakan oleh proses atau layanan tidak dapat dienkripsi.”
Terlebih lagi, payload akhir dikaburkan menggunakan loader untuk mendekripsi dan mengeksekusinya secara dinamis saat runtime dalam apa yang dilihat sebagai upaya untuk menggabungkan teknik yang bertujuan untuk meningkatkan kompleksitas analisis dan penghindaran deteksi.
Beberapa metode lain yang diadopsi oleh pelaku ancaman untuk menghalangi analisis mencakup penggunaan nama perakitan yang dibuat secara unik dan ketergantungan pada SmartAssembly, penggembungan, dan kompresi untuk mengaburkan malware.
Zscaler mengatakan pihaknya menemukan kasus di mana kelompok tersebut memulai kontak melalui akun LinkedIn yang disusupi milik pengguna yang bekerja di bidang pemasaran digital, beberapa di antaranya memiliki lebih dari 500 koneksi dan 1.000 pengikut.
“Tingginya jumlah koneksi/pengikut membantu memberikan keaslian pada akun yang disusupi dan memfasilitasi proses rekayasa sosial bagi pelaku ancaman,” kata para peneliti.
Hal ini juga menyoroti penyebaran Ducktail yang mirip worm di mana kredensial dan cookie LinkedIn yang dicuri dari pengguna yang menjadi korban serangan malware digunakan untuk masuk ke akun mereka dan menghubungi target lain serta memperluas jangkauan mereka.
Ducktail dikatakan sebagai salah satu dari banyak aktor ancaman di Vietnam yang memanfaatkan alat dan taktik bersama untuk melakukan skema penipuan tersebut.
Ini juga termasuk peniru Ducktail yang dijuluki Duckport, yang telah aktif sejak akhir Maret 2023 dan melakukan pencurian informasi bersamaan dengan pembajakan akun Meta Business.
Perlu diperhatikan bahwa kampanye yang dilacak Zscaler sebagai Ducktail sebenarnya adalah Duckport, yang menurut WithSecure, merupakan ancaman terpisah karena perbedaan saluran Telegram yang digunakan untuk C2, implementasi kode sumber, dan fakta bahwa keduanya strain tersebut tidak pernah terdistribusi secara bersamaan.
“Meskipun Ducktail telah mencoba-coba penggunaan situs web bermerek palsu sebagai bagian dari upaya rekayasa sosial mereka, hal itu telah menjadi teknik umum yang dilakukan Duckport,” kata WithSecure.
“Alih-alih menyediakan tautan unduhan langsung ke layanan hosting file seperti Dropbox (yang mungkin menimbulkan kecurigaan), Duckport mengirimkan tautan korban ke situs bermerek yang terkait dengan merek/perusahaan yang mereka tiru, yang kemudian mengarahkan mereka untuk mengunduh arsip berbahaya. dari layanan hosting file (seperti Dropbox)."
Duckport, meskipun berbasis Ducktail, juga hadir dengan fitur-fitur baru yang memperluas kemampuan mencuri informasi dan pembajakan akun, dan juga mengambil tangkapan layar atau menyalahgunakan layanan pencatatan online sebagai bagian dari rantai C2-nya, yang pada dasarnya menggantikan Telegram sebagai saluran untuk menyampaikan perintah ke mesin korban.
“Elemen ancaman-ancaman yang berpusat pada Vietnam dan tingkat tumpang tindih yang tinggi dalam hal kemampuan, infrastruktur, dan viktimologi menunjukkan adanya hubungan kerja yang aktif antara berbagai pelaku ancaman, alat dan TTP yang digunakan bersama di seluruh kelompok ancaman ini, atau penjahat siber Vietnam yang terpecah dan berorientasi pada layanan. ekosistem (mirip dengan model ransomware-as-a-service) yang berpusat di sekitar platform media sosial seperti Facebook,” kata WithSecure.[]
