Como Ducktail capitaliza negócios comprometidos e contas de anúncios

Views: 156
0 0
Read Time:3 Minute, 34 Second

Muito dinheiro pode ser ganho com a venda de contas comerciais e de anúncios comprometidas em plataformas de mídia social, e o ator da ameaça Ducktail se especializou exatamente nisso.

“Observamos que uma conta considerada de ‘baixa qualidade’ é vendida por cerca de 350.000 dong vietnamitas (~US$ 15), enquanto contas consideradas valiosas são vendidas por cerca de 8.000.000 dong vietnamitas (~US$ 340)”, observaram os pesquisadores da Zscaler.

Alvos e técnicas

Os pesquisadores já relataram campanhas montadas pelo grupo , mas os pesquisadores de Zscaler agora delinearam mais suas táticas, técnicas e procedimentos, e revelaram a economia subterrânea da qual o ator da ameaça faz parte.

Ducktail é o nome atribuído por pesquisadores de segurança a um grupo que opera no Vietnã, cujo objetivo é sequestrar contas comerciais de mídia social em plataformas como TikTok, Facebook, LinkedIn e Google.

Os seus alvos selecionados são indivíduos que trabalham no setor de marketing e publicidade digital, ou seja, pessoas que têm acesso a contas comerciais e de publicidade.

Sua abordagem preferida é a engenharia social de alvos para baixar e executar malware que rouba informações.

Eles geralmente entram em contato com as vítimas por meio de contas comprometidas do LinkedIn, atraindo-as com listas de empregos falsas. Depois que o “recrutador” envia uma mensagem à vítima, ele também envia um e-mail com um pacote de candidatura de emprego falso contendo um executável malicioso capaz de roubar cookies de sessão salvos dos navegadores.

“Acreditamos, com alto nível de confiança, que os agentes de ameaças estão comprometendo as contas do LinkedIn de usuários que foram vítimas do ataque inicial do DuckTail, onde as vítimas foram atraídas com empregos fraudulentos e recrutadores falsos”, observaram os pesquisadores.

Algumas cargas úteis do Ducktail também vêm na forma de um suplemento do Excel ou extensão do navegador.

contas de anúncios comerciais comprometidas
Ducktail abusando de mídias sociais e plataformas de nuvem em diferentes estágios de sua operação. (Fonte: Zscaler)

Eles hospedam esses arquivos maliciosos em serviços de hospedagem em nuvem (iCloud, Google Drive, Dropbox, Transfer.sh e OneDrive) e às vezes também usam o Trello – uma plataforma de gerenciamento de projetos – como serviço de hospedagem em nuvem.

Outra atração popular são versões falsas de ferramentas de IA, como ChatGPT .

Eles também são conhecidos por criar páginas da web que fingem oferecer guias de marketing e software de marketing, mas na verdade servem a ladrões de informações.

Aquisição de conta

Para assumir o controle da conta comercial/de publicidade da vítima, os invasores adicionam seu próprio endereço de e-mail a ela e, ocasionalmente, alteram a senha e o endereço de e-mail da conta.

“Observamos um caso em que, após assumir o controle da conta de uma vítima no Facebook, o agente da ameaça ativou a configuração de Notificações Criptografadas. Desta forma, todas as comunicações por e-mail do Facebook com a vítima são criptografadas – evitando efetivamente que a vítima recupere sua conta”, explicaram os pesquisadores .

Os invasores usam serviços de proxy residencial privado ao fazer login em contas comerciais de mídia social comprometidas, para que possam “mostrar” um endereço IP geolocalizado adequadamente e evitar serem detectados pelas defesas das plataformas.

Contas comerciais e de publicidade à venda

Os atores da ameaça direcionam contas de anúncios para que possam acessar orçamentos de publicidade.

Os invasores usam plataformas como Telegram, Facebook e Zalo (um aplicativo de mensagens vietnamita) para se comunicar e vender acesso às contas sequestradas. Contas roubadas também são vendidas num mercado clandestino vietnamita.

Fornecedores e compradores procuram propriedades específicas das contas vendidas, incluindo o tipo de conta (uma conta de anúncio pessoal ou uma conta de gerente de negócios), o orçamento diário de publicidade e o limite de pagamento, se a conta é verificada, a longevidade (contas mais antigas são mais valioso), etc.

“O Facebook combate agentes de ameaças como Ducktail, que hackeiam e abusam de contas de anúncios em sua plataforma, sinalizando automaticamente contas suspeitas. Por causa disso, os agentes de ameaças tentam prolongar a vida de uma conta de anúncio comprometida. Por esta razão, contas hackeadas do Facebook não são mercadorias intercambiáveis. Dependendo das propriedades de uma conta, ela pode variar de muito valiosa a quase inútil para os compradores”, concluíram os pesquisadores.

FONTE: HELP NET SECURITY

POSTS RELACIONADOS