Uma operação cibercriminosa está focada nos profissionais de marketing digital e recursos humanos, e demonstra força e empenho para sequestrar contas comerciais do Facebook usando um malware de roubo de dados. Essa ameaça hacker foi descoberta há pouco tempo.
Na empresa spin-off WithSecure, que é propriedade da F-Secure, pesquisadores descobriram que uma campanha está em andamento. A empresa de segurança apelidou de Ducktail a campanha de roubo de dados, e descobriu também provas que insinuam que uma pessoa do Vietnã está desenvolvendo e compartilhando o malware desde o segundo semestre de 2021.
A WithSecure disse que a motivação desse cibercrime aparenta ser apenas financeira. Afirma também que os primeiros alvos da operação são do Linkedin. Eles selecionam empregados que provavelmente vão ter a possibilidade de chegar a altos níveis de acesso a algumas contas do Facebook.
O analista e pesquisador de malware da WithSecure Intellgence, Mohammad Kazem Hassan Nejad, falou: "Acreditamos que os operadores da Ducktail selecionam cuidadosamente um pequeno número de alvos para aumentar suas chances de sucesso e continuam despercebidos". Também acrescentou: "Observamos que pessoas com cargos gerenciais, como marketing digital, de mídia e de recursos humanos em empresas foram alvos deles".
Usando a engenharia social, o desenvolvedor da ameaça convence o alvo a fazer download de um arquivo hospedado num host de nuvem legítimo, como o Dropbox ou iCloud.
O arquivo mostra a presença de palavras-chaves ligadas a marcas, produtos e planejamento de produtos. Com isso, parecendo legítimos, ele fazem a inserção do malware. A WithSecure afirma que este é o primeiro malware que eles observaram especificamente ser projetado para sequestrar as contas comerciais do Facebook.
Essa ameaça permite que a pessoa que desenvolveu o malware tenha acesso a qualquer conta comercial do Facebook, mesmo que a vítima tenha tido acesso por um curto período de tempo. Para isso, basta que a vítima tenha adicionado seu endereço de e-mail à conta, o que leva a plataforma a enviar um link via e-mail.
Mohammad Kazem diz: "O destinatário, o desenvolvedor da ameaça, interage com o link enviado ao e-mail e obtém acesso à conta. Este mesmo processo representa o processo padrão utilizado para conceder aos usuários acesso a um negócio no Facebook, e assim, se esquiva dos recursos de segurança da Meta, que existem para nos proteger desses abusos".
A WithSecure avisou a Meta e compartilhou as pesquisas com a empresa, porém disse ser "incapaz de determinar o sucesso ou a falta dele" sobre a campanha Ducktail. Afirmam ainda que não podem dizer quantos usuários já foram potencialmente afetados, mas notaram que não foi visto um padrão regional na mira do Ducktail. As vítimas estão espalhadas pela América do Norte, África, Europa e Oriente Médio.
Um representante da Meta deu uma declaração ao site TechCrunch: "Acolhemos com satisfação a pesquisa de segurança sobre as ameaças que rondam nossa indústria. Este é um espaço vastamente adversário e sabemos que estes grupos maliciosos continuarão tentando escapar dos nossos detectores". Na declaração avisam que estão cientes sobre os golpistas em particular e que continuam fazendo atualizações dos sistemas para detectar as tentativas de invasão.
Como este malware é baixado normalmente fora do aplicativo, a Meta encoraja os usuários a pensar com calma sobre qual software eles vão instalar nos seus dispositivos.
Olhar Digital