與越南網絡犯罪生態系統有關的網絡犯罪分子正在大量的利用社交媒體平臺（包括 Meta 旗下的 Facebook）作為傳播惡意軟件的重要手段。

據 WithSecure 的研究人員 Mohammad Kazem Hassan Nejad 稱，惡意攻擊者一直在利用大量欺騙性的廣告針對受害者實施各種詐騙和惡意廣告攻擊。隨著企業越來越多地利用社交媒體發布廣告，這種策略使得攻擊流程變得更加容易，這同時為攻擊者提供了一種新型的攻擊方式--劫持企業賬戶。

在過去的一年時間里，針對 Meta Business 和 Facebook 賬戶的網絡攻擊變得越來越流行，他們主要是由 Ducktail 和 NodeStealer 等活動集群驅動的，它們以針對在 Facebook 上運營的企業和個人進行攻擊而變得有名。

社會工程學在未經授權訪問用戶賬戶方面起著至關重要的作用，受害者會通過 Facebook、LinkedIn、WhatsApp 等平臺和 Upwork 等自由職業門戶網站進行接觸。搜索引擎投毒則是另一種用于推廣虛假軟件的方法，這其中包括 CapCut、Notepad++、OpenAI ChatGPT、Google Bard 和 Meta Threads。

這些網絡犯罪團伙使用的常見手段包括濫用 URL 縮短器、使用 Telegram 進行命令和控制 (C2)，以及使用 Trello、Discord、Dropbox、iCloud、OneDrive 和 Mediafire 等合法云服務來托管惡意的有效載荷。

例如，Ducktail 利用了與品牌營銷項目相關的信息，對 Meta's Business 平臺上的個人和企業進行滲透。在最近的攻擊中，網絡犯罪分子則是使用和工作招聘相關的主題來進行攻擊。

潛在的目標用戶被 Facebook 廣告或 LinkedIn InMail 引流到了 Upwork 和 Freelancer 等平臺上，然后會瀏覽大量的具有欺詐性的招聘信息。這些招聘信息中含有指向云存儲提供商托管的惡意文件超鏈接，從而可以部署 Ducktail惡意軟件進行信息的竊取。

Ducktail惡意軟件的設計目的是從瀏覽器中竊取已保存的會話 cookie，其惡意代碼是專為接管 Facebook 企業賬戶而量身定制的。這些被入侵的賬戶在地下市場會進行出售，價格會從 15 美元到 340 美元不等。

2023 年 2 月至 3 月間觀察到的最新攻擊方式涉及到使用快捷方式和 PowerShell 文件下載并啟動惡意軟件。該惡意軟件目前已演變為從 X（前 Twitter）、TikTok Business 和 Google Ads 等多個平臺獲取個人信息。它還會利用被竊取的 Facebook 會話 Cookie 創建具有欺詐性的廣告并獲得更高的權限。

用來接管受害者賬戶的主要方法是添加攻擊者的電子郵件地址、更改密碼并鎖定受害者的 Facebook 賬戶。

Zscaler 的研究人員還觀察到威脅攻擊者還使用了數字營銷領域用戶的 LinkedIn 賬戶進行攻擊的情況，他們利用這些賬戶的真實性來輔助社會工程學戰術。這也凸顯了 Ducktail 的蠕蟲式的傳播方式，即利用被竊取的 LinkedIn 憑據和 Cookie 登錄受害者賬戶并擴大其影響范圍。

Ducktail 只是越南眾多威脅攻擊者中的一個，他們會利用共享工具和高明的攻擊策略實施欺詐計劃。2023 年 3 月底出現的 Ducktail 山寨版 Duckport 主要從事信息竊取以及Meta Business 賬戶劫持。這里值得注意的是，Duckport 與 Ducktail 在用于指揮控制、源代碼實施和分發的 Telegram 頻道方面有所不同，這也使得它們成為了截然不同的威脅。

Duckport 則采用了一種更加獨特的技術，即向受害者發送與假冒品牌或公司相關的品牌網站鏈接，重定向受害者然后從文件托管服務下載惡意文件。與 Ducktail 不同的是，Duckport 使用了Telegram 向受害者機器傳遞命令，并整合了其他額外的信息竊取和賬戶劫持功能，并且還添加了截圖和濫用在線筆記服務作為其指揮和控制攻擊的一部分。

本文翻譯自：https://www.cysecurity.news/2023/09/vietnamese-cybercriminals-exploit.html如若轉載，請注明原文地址