قراصنة يستهدفون حسابات الشركات على الفيسبوك

وفقًا لموقع The Hacker News ، ازدادت الهجمات الإلكترونية التي تستهدف حسابات Meta Business وفيسبوك شيوعًا خلال العام الماضي بفضل برمجيتي Ducktail وNodeStealer الخبيثتين، واللتين تُستخدمان لمهاجمة الشركات والأفراد النشطين على فيسبوك. ومن بين الأساليب التي يستخدمها مجرمو الإنترنت، تلعب الهندسة الاجتماعية دورًا رئيسيًا.

يتم التواصل مع الضحايا عبر منصات متنوعة، من فيسبوك ولينكدإن إلى واتساب ومواقع التوظيف الحر. ومن آليات الانتشار المعروفة الأخرى، تسميم محركات البحث لإغراء المستخدمين بتنزيل نسخ مزيفة من CapCut وNotepad++ وChatGPT وGoogle Bard وMeta Threads، وغيرها، وهي نسخ ينشئها مجرمو الإنترنت لزرع برامج ضارة في أجهزة الضحايا.

من الشائع أن تستخدم مجموعات المجرمين الإلكترونيين خدمات اختصار الروابط وTelegram للقيادة والتحكم، وخدمات السحابة المشروعة مثل Trello وDiscord وDropbox وiCloud وOneDrive وMediafire لاستضافة البرامج الضارة.

يستغلّ مُنظّمو "دكتيل" الضحايا بمشاريع تسويقية وترويجية لاختراق حسابات الأفراد والشركات العاملة على منصة "ميتا" للأعمال. يتم توجيه الأهداف المُحتملة إلى منشورات مزيفة على منصتي "أب وورك" و"فريلانسر" عبر إعلانات "إن مايل" على فيسبوك أو لينكدإن، والتي تحتوي على روابط لملفات خبيثة مُموّهة على أنها أوصاف وظيفية.

يقول باحثون في Zscaler ThreatLabz إن Ducktail يسرق ملفات تعريف الارتباط من المتصفحات لاختراق حسابات فيسبوك التجارية. تُباع غنائم هذه العملية (حسابات التواصل الاجتماعي المخترقة) إلى الأسواق غير الرسمية، حيث تُحدد أسعارها بناءً على فائدتها، والتي تتراوح عادةً بين 15 و340 دولارًا أمريكيًا.

وقد شملت العديد من سلاسل العدوى التي تم رصدها بين فبراير ومارس 2023 استخدام اختصارات وملفات PowerShell لتنزيل البرامج الضارة وتشغيلها، مما يدل على التطور المستمر في تكتيكات المهاجمين.

تم تحديث هذه الأنشطة الخبيثة أيضًا لجمع المعلومات الشخصية للمستخدمين من X (المعروف سابقًا باسم Twitter)، وTikTok Business، وGoogle Ads، بالإضافة إلى الاستفادة من ملفات تعريف الارتباط المسروقة من Facebook لإنشاء إعلانات احتيالية بطريقة آلية ورفع الامتيازات لأداء أنشطة خبيثة أخرى.

الطريقة المستخدمة للسيطرة على حساب الضحية هي إضافة عنوان البريد الإلكتروني للمخترق إلى الحساب، ثم تغيير كلمة المرور وعنوان البريد الإلكتروني للضحية لمنعه من الوصول إلى الخدمة.

ذكرت شركة الأمن WithSecure أن ميزة جديدة لُوحظت في عينات Ducktail منذ يوليو 2023 هي استخدام RestartManager (RM) لإيقاف العمليات التي تقفل قاعدة بيانات المتصفح. تُستخدم هذه الميزة غالبًا في برامج الفدية، نظرًا لاستحالة تشفير الملفات التي تستخدمها العمليات أو الخدمات.

وقال باحثون في شركة Zscaler إنهم عثروا على إصابات من حسابات LinkedIn المخترقة التي تنتمي إلى مستخدمين يعملون في مجال التسويق الرقمي، وبعضها يضم أكثر من 500 اتصال و1000 متابع، مما ساعد في تسهيل عمليات الاحتيال التي يقوم بها مجرمي الإنترنت.

يُعتقد أن دكتيل هو أحد أنواع البرمجيات الخبيثة العديدة التي يستغلها مجرمو الإنترنت الفيتناميون لتنفيذ مخططات احتيالية. هناك نسخة طبق الأصل من دكتيل تُسمى دكبورت، والتي تسرق المعلومات وتخترق حسابات ميتا بيزنس منذ أواخر مارس 2023.

تعتمد استراتيجية مجموعة مجرمي الإنترنت التي تستخدم Duckport على استدراج الضحايا إلى مواقع إلكترونية مرتبطة بالعلامة التجارية التي ينتحلون شخصيتها، ثم إعادة توجيههم لتنزيل ملفات خبيثة من خدمات استضافة الملفات مثل Dropbox. كما يتميز Duckport بميزات جديدة، تُوسّع قدرته على سرقة المعلومات واختراق الحسابات، والتقاط لقطات شاشة، أو إساءة استخدام خدمات تدوين الملاحظات عبر الإنترنت لاستبدال Telegram بإرسال أوامر إلى جهاز الضحية.

يقول الباحثون إن التهديدات في فيتنام تتداخل بشكل كبير في القدرات والبنية التحتية والضحايا. يُظهر هذا علاقة إيجابية بين الجماعات الإجرامية والأدوات والتكتيكات والتقنيات المشتركة، وما إلى ذلك. يُشبه هذا النظام البيئي نموذج برامج الفدية كخدمة، ولكنه يركز على منصات التواصل الاجتماعي مثل فيسبوك.