تستفيد الجهات الفاعلة الخبيثة المرتبطة بالنظام البيئي للجرائم الإلكترونية الفيتنامية من الإعلانات باعتبارها ناقلًا على منصات التواصل الاجتماعي مثل فيسبوك لتوزيع البرامج الضارة.

وقال محمد نجاد، الباحث في شركة WithSecure: "لطالما استخدمت الجهات الفاعلة في مجال التهديد الإعلانات الاحتيالية كوسيلة لاستهداف الضحايا من خلال عمليات الاحتيال والإعلانات الضارة وغير ذلك الكثير" . "ومع استفادة الشركات الآن من وصول وسائل التواصل الاجتماعي للإعلان، أصبح لدى المهاجمين نوع جديد من الهجمات المربحة للغاية لإضافتها إلى ترسانتهم تتمثل في اختطاف حسابات الأعمال."

اكتسبت الهجمات الإلكترونية التي تستهدف حسابات Meta Business وفيسبوك شعبية على مدار العام الماضي، وذلك بفضل مجموعات الأنشطة مثل Ducktail و NodeStealer المعروفة بمداهمة الشركات والأفراد الذين يعملون على فيسبوك.

من بين الأساليب التي يستخدمها مجرمو الإنترنت للوصول غير المصرح به إلى حسابات المستخدمين، تلعب الهندسة الاجتماعية دورًا مهمًا.

يتم التواصل مع الضحايا من خلال منصات مختلفة تتراوح من فيسبوك ولينكدإن إلى واتساب وبوابات الوظائف المستقلة مثل Upwork. هناك آلية توزيع معروفة أخرى وهي استخدام تسميم محركات البحث لتعزيز البرامج الزائفة مثل CapCut وNotepad++ وOpenAI ChatGPT وGoogle Bard وMeta Threads.

أحد العناصر المشتركة بين هذه المجموعات هو إساءة استخدام خدمات تقصير عناوين الروابط URL، وتيليجرام للسيطرة والتحكم (C2)، والخدمات السحابية الشرعية مثل Trello، وDiscord، وDropbox، وiCloud، وOneDrive، وMediafire لاستضافة الحمولات الضارة.

على سبيل المثال، تستفيد الجهات الفاعلة التي تقف وراء Ducktail من الإغراءات المتعلقة بالعلامات التجارية ومشاريع التسويق لاختراق الأفراد والشركات التي تعمل على منصة Meta's Business، مع موجات هجوم جديدة تستخدم موضوعات متعلقة بالوظائف لتنشيط العدوى.

في هذه الهجمات، يتم توجيه الأهداف المحتملة إلى منشورات زائفة على Upwork وFreelancer من خلال إعلانات فيسبوك أو LinkedIn InMail، والتي تحتوي بدورها على رابط لملف وصف وظيفي مفخخ مستضاف على أحد موفري التخزين السحابي المذكورين أعلاه، مما يؤدي في النهاية إلى لنشر برمجيات السرقة الخبيثة Ducktail.

وأشار الباحثون في Zscaler ThreatLabz Sudeep Singh وNaveen Selvan في تحليل موازٍ إلى أن "البرمجيات الخبيثة Ducktail تسرق ملفات تعريف الارتباط للجلسة المحفوظة من المتصفحات، مع رمز مصمم خصيصًا للاستيلاء على حسابات الأعمال على فيسبوك"، موضحين أن الحسابات تباع بمبلغ يتراوح بين 15 دولارًا إلى 340 دولارًا.

"إن "منتجات" العملية (أي حسابات وسائل التواصل الاجتماعي المخترقة) تغذي الاقتصاد السري لحسابات وسائل التواصل الاجتماعي المسروقة، حيث يقدم العديد من البائعين حسابات مسعرة وفقًا لفائدتها المتصورة للنشاط الضار."

تضمنت تسلسلات العدوى المحددة التي تمت ملاحظتها بين فبراير ومارس 2023 استخدام الاختصارات وملفات PowerShell لتنزيل البرامج الضارة النهائية وإطلاقها، مما يوضح التطور المستمر لتكتيكات المهاجمين .

تمتد التجربة أيضًا إلى أداة السرقة، والتي تم تحديثها لجمع المعلومات الشخصية للمستخدم من تويتر، وتيك توك بيزنس TikTok Business، وإعلانات قوقل، بالإضافة إلى الاستفادة من ملفات تعريف الارتباط المسروقة لجلسة فيسبوك لإنشاء إعلانات احتيالية بطريقة آلية و الحصول على امتيازات مرتفعة لتنفيذ إجراءات أخرى.

الطريقة الأساسية المستخدمة للسيطرة على حساب الضحية المخترق هي إضافة عنوان البريد الإلكتروني الخاص به إلى هذا الحساب، ثم تغيير كلمة المرور وعنوان البريد الإلكتروني لحساب الضحية على فيسبوك لإغلاق الخدمة.

وقالت WithSecure: "هناك ميزة جديدة أخرى تمت ملاحظتها في عينات Ducktail منذ يوليو 2023 (على الأقل) وهي استخدام RestartManager (RM) لقتل العمليات التي تقفل قواعد بيانات المتصفح". "غالبًا ما توجد هذه الإمكانية في برامج الفدية، حيث لا يمكن تشفير الملفات المستخدمة بواسطة العمليات أو الخدمات."

علاوة على ذلك، يتم حجب الحمولة النهائية باستخدام أداة تحميل لفك تشفيرها وتنفيذها ديناميكيًا في وقت التشغيل فيما يُنظر إليه على أنه محاولة لدمج تقنيات تهدف إلى زيادة تعقيد التحليل والتهرب من الاكتشاف.

تشمل بعض الأساليب الأخرى التي يعتمدها ممثل التهديد لعرقلة التحليل استخدام أسماء التجميع التي تم إنشاؤها بشكل فريد والاعتماد على SmartAssembly والتضخيم والضغط للتشويش على البرامج الضارة.

وقالت Zscaler إنها رصدت حالات بدأت فيها المجموعة الاتصال عبر حسابات LinkedIn المخترقة التي تخص مستخدمين يعملون في مجال التسويق الرقمي، وبعضهم لديه أكثر من 500 جهة اتصال و1000 متابع.

وقال الباحثون: "إن العدد الكبير من جهات الاتصال/المتابعين ساعد في إضفاء المصداقية على الحسابات المخترقة وتسهيل عملية الهندسة الاجتماعية للجهات الفاعلة في مجال التهديد".

يسلط هذا الضوء أيضًا على الانتشار الشبيه بالدودة لـ Ducktail حيث يتم استخدام بيانات اعتماد LinkedIn وملفات تعريف الارتباط المسروقة من مستخدم وقع ضحية لهجوم البرامج الضارة لتسجيل الدخول إلى حساباتهم والاتصال بأهداف أخرى وتوسيع نطاق وصولهم.

يُقال إن Ducktail هي واحدة من العديد من جهات التهديد الفيتنامية التي تستفيد من الأدوات والتكتيكات المشتركة لتنفيذ مثل هذه المخططات الاحتيالية. يتضمن ذلك أيضًا نسخة مقلدة من Ducktail يُطلق عليها اسم Duckport، والتي كانت نشطة منذ أواخر مارس 2023 وتقوم بسرقة المعلومات جنبًا إلى جنب مع سرقة حساب Meta Business.

تجدر الإشارة إلى أن الحملة التي يتتبعها Zscaler باسم Ducktail هي في الواقع Duckport، والتي، وفقًا لـ WithSecure، تمثل تهديدًا منفصلاً بسبب الاختلافات في قنوات Telegram المستخدمة لـ C2، وتنفيذ التعليمات البرمجية المصدر، وحقيقة أن كليهما لم يتم توزيع السلالات معًا أبدًا.

وقال WithSecure: "بينما انخرطت Ducktail في استخدام مواقع الويب ذات العلامات التجارية المزيفة كجزء من جهودها في مجال الهندسة الاجتماعية، فقد كانت تقنية شائعة لدى Duckport".

"بدلاً من توفير روابط التنزيل المباشرة لخدمات استضافة الملفات مثل Dropbox (والتي قد تثير الشكوك)، يرسل Duckport للضحايا روابط إلى مواقع ذات علامات تجارية مرتبطة بالعلامة التجارية/الشركة التي ينتحلون شخصيتهم، والتي تعيد توجيههم بعد ذلك لتنزيل الأرشيف الضار. من خدمات استضافة الملفات (مثل Dropbox)."

Duckport، على الرغم من أنه يعتمد على Ducktail، يأتي أيضًا مع ميزات جديدة تتوسع في سرقة المعلومات وقدرات اختطاف الحسابات، وكذلك التقاط لقطات شاشة أو إساءة استخدام خدمات تدوين الملاحظات عبر الإنترنت كجزء من سلسلة C2، لتحل بشكل أساسي محل Telegram كقناة لتمرير الأوامر. إلى جهاز الضحية.

"إن العنصر الفيتنامي المتمحور حول هذه التهديدات والدرجة العالية من التداخلات من حيث القدرات والبنية التحتية وعلم الضحايا يشير إلى وجود علاقات عمل نشطة بين مختلف الجهات الفاعلة في مجال التهديد، والأدوات المشتركة وتقنيات TTP عبر مجموعات التهديد هذه، أو مجرم إلكتروني فيتنامي ممزق وموجه نحو الخدمات. وقال WithSecure: "النظام البيئي (المشابه لنموذج برامج الفدية كخدمة) يتمحور حول منصات التواصل الاجتماعي مثل فيسبوك".

المصدر: The Hacker News