Repositórios do GitHub assolados por roubo de informações
Ciberataques a serviços financeiros duplicam na Europa
Malware tem como alvo bancos e carteiras de criptomoedas
Cerca de metade dos ataques cibernéticos não são relatados
ShadowSyndicate implantou sete famílias diferentes de ransomware
Big techs criam coalizão para criptografia pós-quântica
Custo de compliance contra crime financeiro supera US$ 206 bilhões
O Facebook estão sendo alvo de uma operação cibercriminosa chamada Ducktail, que tem como objetivo assumir o controle de contas comerciais e de publicidade da rede social para roubo financeiro. “O operador da ameaça descarrega um malware para roubar informações de funcionários que podem ter acesso a uma conta do Facebook Business”, alerta a empresa finlandesa de segurança cibernética WithSecure — anteriormente chamada F-Secure, em um novo relatório.
“O malware foi projetado para roubar cookies do navegador e aproveitar as sessões autenticadas do Facebook para obter informações da conta da vítima e, finalmente, sequestrar qualquer conta do Facebook Business à qual ela tenha acesso”, diz a empresa.
Os ataques, atribuídos a um hacker vietnamita, teriam começado no segundo semestre do ano passado, com os principais alvos sendo indivíduos com funções gerenciais, de marketing digital, mídia digital e recursos humanos em empresas.
A ideia é segmentar funcionários com acesso de alto nível às contas do Facebook Business associadas às suas organizações, induzindo-os a baixar supostas informações de publicidade do Facebook hospedadas no Dropbox, Apple iCloud e MediaFire. Em alguns casos, o arquivo que contém a carga maliciosa também é entregue às vítimas por meio do LinkedIn, permitindo que o invasor assuma qualquer conta do Facebook Business.
O malware, escrito em .NET Core, tem o binário projetado para usar o Telegram para comando e controle e exfiltração de dados. A WithSecure disse que identificou oito canais do Telegram que foram usados ​​para esse fim. Ele funciona verificando navegadores instalados, como Google Chrome, Microsoft Edge, Brave Browser e Mozilla Firefox, para extrair todos os cookies e tokens de acesso armazenados, além de roubar informações da conta pessoal da vítima no Facebook, como nome, endereço de e-mail, data de nascimento e ID do usuário.
Veja isso
Vazamento do Facebook pegou 8.064.916 usuários brasileiros
Falha de cookies do Facebook permitiu acesso à sua rede interna
Também são saqueados dados de empresas e contas de anúncios conectadas à conta pessoal da vítima, permitindo que o cibercriminoso sequestre as contas adicionando um endereço de e-mail controlado pelo ator recuperado do canal Telegram e concedendo a si mesmo acesso ao editor de administração e finanças.
Embora os usuários com funções de administrador tenham controle total sobre a conta comercial do Facebook, os usuários com permissões de editor de finanças podem editar informações de cartão de crédito comercial e detalhes financeiros, como transações, faturas, gastos da conta e métodos de pagamento.
Os dados de telemetria coletados pelo WithSecure mostram um padrão de segmentação global abrangendo vários países, incluindo Filipinas, Índia, Arábia Saudita, Itália, Alemanha, Suécia e Finlândia.
A empresa diz que “não foi possível determinar o sucesso ou não” da campanha Ducktail, acrescentando que não conseguiu determinar quantos usuários foram potencialmente afetados.Os administradores do Facebook Business são aconselhados a revisar suas permissões de acesso e remover quaisquer usuários desconhecidos para proteger as contas.
Acompanhe em primeira mão as principais notícias de Segurança Cibernética
Parabéns, você já está cadastrado para receber diariamente a Newsletter do CISO Advisor
Por favor, verifique a sua caixa de e-mail: haverá uma mensagem do nosso sistema dando as instruções para a validação de seu cadastro. Siga as instruções contidas na mensagem e boa leitura. Se você não receber a mensagem entre em contato conosco pelo “Fale Conosco” no final da homepage.
ATENÇÃO: INCLUA newsletter@cisoadvisor.com.br NOS CONTATOS DE EMAIL

(para a newsletter não cair no SPAM)

source