Cyberattacker blir allt vanligare

Mot Metas annonsekosystem

En ny WithSecure-rapport avslöjar att hot riktade mot Meta Business-konton blir allt populärare bland Vietnam-baserade cyberbrottslingar.

Antalet cyberattacker riktade mot Meta Business- och Facebook-konton ökar i popularitet bland hotaktörer i Vietnam. Det visar en ny rapport som WithSecure™ (tidigare känt som F-Secure business) publicerar idag.

Enligt rapporten har WithSecure™ Intelligence observerat och spårar för närvarande ett flertal grupper som riktar sig mot dessa plattformar. Attackerna går ut på att manipulera en individ med tillgång till det aktuella kontot till att infektera sig själv med skadlig programvara som stjäl information.

Angriparna manipulerar sina offer till att ladda ner skadlig programvara genom att använda lockbeten som delas via e-post, sociala medier eller liknande. Vanliga teman för de lockbeten som forskare observerade i dessa attacker inkluderar trendande teknologier (som ChatGPT), populär programvara (som Notepad++), anställningsmöjligheter (som jobbannonser eller projektförslag) och information om reklamplattformar (som Ads Manager-funktioner).

Som ett resultat av infektionen kan skadlig programvara tillskansa sig mängder av information, kring exempelvis cookies för Facebook-sessioner och inloggningsuppgifter, vilket ger angriparen åtkomst till det aktuella kontot. Viss skadlig programvara kan även kapa konton och automatiskt driva bedrägliga annonser via offrets enhet.

Tillgång till dessa konton ger angripare flera möjligheter att tjäna pengar, till exempel via utpressning, ärekränkning eller kanske främst genom att driva falska annonser med hjälp av de angripna organisationernas pengar/krediter.

”Dessa grupper säljer ofta annonser till andra cyberbrottslingar, antingen mot en avgift eller en andel i verksamheten. Det gör dem till ett slags möjliggörare för andra cyberbrottslingar, vilket i slutändan skadar företag, plattformen och användare. Dessutom kan de sälja en stor del av den information de lyckas stjäla, vilket ger dem en extra intäktskälla och orsakar fler problem för offren,” säger WithSecure™-forskaren Mohammad Kazem Hassan Nejad, som har skrivit rapporten.

Förutom att ge en översikt över problemet analyserar rapporten två hotmetoder som är involverade i dessa attacker.

Den första, DUCKTAIL, är ett hot som WithSecure™ Intelligence har spårat i ungefär ett och ett halvt år. Forskare fann en betydande ökning av DUCKTAIL-aktiviteter under det senaste halvåret, såväl som flera anmärkningsvärda förändringar i tillvägagångssätten. Några av de tydligaste utvecklingarna som har observerats inkluderar en inriktning på X/Twitter-annonskonton, samt ökad användning av undvikande- och desinformationstekniker för att kringgå upptäckt.

Det andra hotet som beskrivs i rapporten, DUCKPORT, upptäcktes av WithSecure™ Intelligence i mars 2023. Det finns betydande överlappningar mellan DUCKTAIL och DUCKPORT, men även betydande skillnader som motiverade forskarna att spåra det som ett separat hot. Vissa funktioner som är unika för DUCKPORT inkluderar, enligt rapporten, bland annat möjligheten att ta skärmdumpar och att missbruka nättjänster för anteckningsdelning som en del av dess command-and-control-kedja.

Enligt WithSecures Neeraj Singh, som deltog i forskningen, är inblandningen av flera olika men snarlika grupper ett tecken på en viss nivå av engagemang som förekommer bland aktörer verksamma inom detta utrymme.

"Dessa olika grupper kan hämta expertis från en gemensam talangpool, alternativt arbeta inom ett ramverk för informationsutbyte för att dela verktyg och insikter om effektiva strategier med varandra. Dessutom kan den potentiella inblandningen av en mellanhand som erbjuder specialiserade tjänster, liknande ransomware-as-a-service-modellen, inte ignoreras. Det är dock uppenbart att utrymmet växer, vilket tyder på att dessa attackmetoder har uppnått en viss framgångsnivå,” säger han.

Hela rapporten finns tillgänglig här

Northern Link PR för WithSecure™
Björn Dahlgren
bjorn@nlpr.se
tel. +46761603760

2023-09-01 - Industritorget

Kontaktinformation

Northern Link PR i Sverige AB

070-598 22 82

Se hemsida

Skicka e-post

Kontakter

Karta

Skriv ut
Tipsa

Postadress
Kungsgatan 60
11122 Stockholm

Besöksadress
Kungsgatan 60
11122 Stockholm

Region
Stockholm
Stockholms län
Sverige

Organisationsnummer:
556834-7198

Grundat: Ej angivet
Anställda: Ej angivet

Kontakter

Karta

Välkommen till Northern Link PR.

Vi hjälper företag med nordiska ambitioner.
När det gäller PR och kommunikation, strävar Northern Link PR att vara det bästa valet för företag med svensk eller helt nordiska ambitioner.

Vi ser vikten av meddelanden, strategi och taktik som är nära i linje med dina affärsmål. Därför har vi etablerat kompetens inom en rad tjänster som kan utvecklas och anpassas beroende på din unika situation.

Välkommen att kontakta oss.

Skicka förfrågan