W ciągu ostatniego pół roku nastąpił nagły wzrost aktywności złośliwego oprogramowania Ducktail, którego celem są konta biznesowe przeznaczone do działań marketingowych i PR-owych. Poza kontami Facebook Business zagrożone są profile na platformie X (dawniej Twitter). Za atakami stoją cyberprzestępcy z Wietnamu, a pojawiła się również dodatkowa odnoga złośliwego oprogramowania – Duckport.
Działalność phishingowa odbywa się za pośrednictwem LinkedIn lub WhatsAppa, a cyberprzestępcy korzystają z legalnego narzędzia Rebrandly do uwierzytelniania i skracania adresu URL przygotowanych przez siebie fałszywych stron. Ducktail to złośliwe oprogramowanie stworzone do wykradania cookies przeglądarki i wykorzystywania uwierzytelnionych sesji Facebooka w celu pobrania informacji z konta ofiary. Ostatecznie przejmowane są wszystkie konta Facebook Business, do których ma dostęp zaatakowana osoba.
Według raportu, hakerzy wykorzystują tematy związane z cyfrowym marketingiem dotyczące np. ChatGPT oraz aplikacji CapCut i Notepad, celując w użytkowników indywidualnych i firmy, które korzystają z platformy Meta Business. W ramach ataków najczęściej preparowane są fałszywe propozycje projektowe związane z wprowadzaniem nowego produktu lub kolekcji, a także przygotowywane są wiadomości e-mail lub strony internetowe z ofertami pracy.
Nową funkcją używaną przez hakerów od lipca 2023 r. jest zbieranie identyfikatorów użytkowników i plików cookie sesji z przeglądarek zalogowanych w platformie X (dawniej Twitter). Eksperci przewidują, że oprogramowanie Ducktail może pojawić się również na innych platformach reklamowych, a coraz częściej obejmuje ataki wymierzone w użytkowników poszukujących pracy i freelancerów z wykorzystaniem fałszywych e-maili i stron takich jak Upwork i Freelancer.
Mechanizm rozprzestrzeniania się ataku
Mechanizm rozprzestrzeniania zainfekowanego pliku przypominającego projekty, produkty lub oferty pracy najczęściej zaczyna się poprzez wysłanie go przez WhatsApp i LinkedIn. Cyberprzestępcy korzystający z Duckport wabią ofiarę i zachęcają ją do kliknięcia w link lub pobrania plików. Pomocne jest dla nich legalne narzędzie Rebrandly do uwierzytelniania i skracania kodu URL przygotowanych przez siebie fałszywych stron.
Eksperci zwracają uwagę, że kody źródłowe złośliwego oprogramowania stale ulegają modyfikacjom. Zawarte w nich funkcje są nieustannie dodawane, usuwane, zmieniane lub przywracane, co czyni przeciwdziałanie takim atakom bardzo trudnym. Przewiduje się, że aktywność cyberprzestępców związana z Ducktail i Duckport będzie kontynuowana ze względu na swój potencjał finansowy.
Rady dla użytkowników
Osobom posiadającym dostęp do biznesowych kont w mediach społecznościowych oraz platformach reklamowych radzi się zachowanie szczególnej ostrożności. Zaleca się, aby pobierać aplikacje bezpośrednio z oficjalnych repozytoriów, takich jak App Store lub Google Play Store, oraz weryfikować autentyczność stron internetowych, na których się loguje.
Podsumowując, nowe rodzaje oszustw na platformach freelancerskich stanowią poważne zagrożenie dla użytkowników, którzy mają dostęp do kont służących do działań marketingowych i PR-owych. Aktywność cyberprzestępców nieustannie ewoluuje, co znacznie utrudnia walkę z tego typu atakami.
Zachęcamy do skorzystania z usług https://stop-oszustom.pl/, które pomagają chronić przed tego typu zagrożeniami.
