Wysyłane są wiadomości phishingowe do użytkowników LinkedIn, aby przejąć konta firmowe na Facebooku

28 lipca, 2022

Trwają ataki socjotechniczne na osoby i organizacje, które wykorzystują platformę Facebook/Meta Business Suite do kontaktowania się ze swoim klientami, zarządzania reklamami, budowania społeczności wokół marki. Operację wietnamskich przestępców analizuje firma WithSecure, która od lipca 2022 roku odpowiada za część biznesową podzielonej firmy F-Secure Corporation. Przestępcy koncentrują się na dystrybucji złośliwego oprogramowania oraz automatycznych kampaniach, które dostosowują się do konkretnej ofiary (jest celowana wiadomość udająca ważne informacje_od_facebooka.exe).

scam facebook malware
Od lewej: wiadomość typu „SCAM” – udająca informacje od Facebooka. Po prawej: rozpakowane archiwum z plikami, jest też plik malware .EXE.

W pierwszym etapie ataku realizowane jest wyszukiwanie profilów osób na LinkedIn, które mogą mieć uprzywilejowany dostęp do platformy Meta/Facebook Business Suite: osoby na stanowisku kierowniczym, pracownicy marketingu i działy zatrudniające.

Następnie wysyła się do nich wiadomości ze złośliwym oprogramowaniem – często są to linki do chmur Dropbox, Apple iCloud, MediaFire, co pozornie nie jest powiązane z Facebookiem. Malware jest opakowane w archiwum ZIP z plikami graficznymi oraz plikiem .PDF.EXE.

Na końcu złośliwe oprogramowanie potrafi wykradać ciasteczka z przeglądarek Chrome, Edge, Brave, Firefox. Zalogowane sesje są wykorzystywane do kradzieży kont na Facebooku – osoby zarządzające tracą dostęp do swoich kont, jeżeli nie są odpowiednio zabezpieczone przed włamaniami. W konsekwencji, przestępcy w imieniu firmy, mogą publikować niebezpieczne materiały: linki do trojanów, oszustw opartych na tematyce kryptowalut itp. Wczoraj dostęp do swojego konta na Twitterze utraciła firma z branży zabezpieczeń IT!

Ciekawostką techniczną jest wykorzystanie API komunikatora Telegram jako serwera C&C, do którego malware wysyła wykradzione pliki z komputerów ofiar.

API Telegram facebook scam malware
Malware komunikuje się z utworzonym kontem bota na Telegramie poprzez interfejs API. Widzimy tutaj wykradzione pliki.

PROSIMY, zwróćcie uwagę na zabezpieczenia kont internetowych, w szczególności na te, które są źródłem dochodu. Na Facebooku warto przejrzeć uprawnienia osób będących administratorami z dostępem do Facebook Business Suite i usunąć wszstkie nadmiarowe konta.

Aby kompleksowo zabezpieczyć konta społecznościowe, przeczytaj artykuł, który przygotowaliśmy na takie okazje. Zajrzyj też to naszych aktualnych promocji na klucze bezpieczeństwa Yubikey, które pomagają chronić konta przed utratą. Na pierwszej linii obrony zawsze powinien czuwać rekomendowany produkt antywirusowy. Nie wyobrażam sobie, aby prowadzić firmę bez tak podstawowego zabezpieczenia.

Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

Czy ten artykuł był pomocny?

Średnia ocena: 5 / 5. Liczba głosów: 2

guest
0 komentarzy
Inline Feedbacks
View all comments

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]