Les cybercriminels vietnamiens multiplient les attaques contre les comptes Meta Business, selon une nouvelle étude de WithSecure.
Tribune – Selon un nouveau rapport publié par WithSecure™ (anciennement connu sous le nom de F-Secure Business), les cybercriminels vietnamiens multiplient les attaques contre les comptes Meta Business et Facebook. WithSecure™ Intelligence a en effet constaté que ces plateformes sont ciblées par de nouveaux groupes de hackers. Leurs attaques consistent à manipuler un individu disposant d’un accès au compte ciblé, afin qu’il provoque lui-même une infection via un malware infostealer.
Les cybercriminels prennent contact avec leur victime par e-mail, sur les réseaux sociaux ou via des canaux similaires. Ils attirent son attention en abordant des sujets d’actualité comme ChatGPT, en mentionnant un logiciel courant comme Notepad++, en prétextant des offres d’emploi, ou en évoquant une plateforme publicitaire comme l’outil Ad Manager. Via ces communications, les hackers tentent de tromper l’utilisateur pour qu’il télécharge le malware qui servira à l’attaque.
Après l’infection, le malware vole diverses informations, notamment les cookies et identifiants Facebook, afin de permettre au hacker d’accéder au compte ciblé. Dans certains cas, le malware peut prendre le contrôle du compte et diffuser des publicités frauduleuses automatiquement via l’ordinateur de la victime.
En accédant à ces comptes, les hackers peuvent gagner de l’argent en se livrant à l’extorsion ou à la diffamation. Mais surtout, ils peuvent utiliser le compte de publicité de l’entreprise pour diffuser à ses frais des publicités frauduleuses.
« Ces groupes vendent souvent des publicités à d’autres cybercriminels, en échange d’une rémunération ou d’une part des bénéfices. Ils deviennent en quelque sorte les pourvoyeurs d’autres cybercriminels. Et en définitive, ce sont les entreprises, la plateforme et les utilisateurs qui en pâtissent. Par la suite, les cybercriminels peuvent aussi vendre une grande partie des informations qu’ils ont volées, ce qui constitue une source de revenus supplémentaire et cause encore davantage de préjudices aux victimes », explique Mohammad Kazem Hassan Nejad, chercheur à WithSecure™ et auteur du rapport.
En plus de dresser un tableau général du problème, ce rapport analyse deux menaces spécifiques. La première s’appelle DUCKTAIL. WithSecure™ Intelligence la suit depuis environ un an e demi. Ces six derniers mois, les chercheurs ont constaté une augmentation significative de l’activité de DUCKTAIL, avec plusieurs évolutions notables comme le ciblage des comptes publicitaires X/Twitter et l’utilisation accrue de techniques d’évasion/anti-analyse pour éviter la détection.
La deuxième menace décrite est DUCKPORT, qui a été identifiée par WithSecure™ Intelligence en mars 2023. Il existe des convergences considérables entre DUCKTAIL e DUCKPORT, mais aussi certaines différences significatives qui, selon les chercheurs, justifient un suivi distinct. DUCKPORT est notamment capable de réaliser des captures d’écran et de détourner les services de partage de notes en ligne pour servir sa chaîne de commandement et de contrôle. Plusieurs autres capacités de DUCKPORT sont détaillées dans le rapport.
Neeraj Singh, Senior Security Researcher chez WithSecure Intelligence, a participé activement à cette étude. Selon lui, le fait que plusieurs groupes de hackers différents (même s’ils sont similaires) prennent part à ce genre d’activité témoigne de l’ampleur du phénomène.
« Il se peut que ces hackers tirent leur mode opératoire d’un pool d’expertise commun, ou qu’ils opèrent des échanges d’outils et de stratégies. Il se peut aussi qu’un intermédiaire propose ses services spécialisés, comme sur le modèle « ransomware-as-a-service ». Pour autant, le constat est évident : ces attaques se développent, ce qui signifie que les hackers obtiennent des résultats avec ce type de procédé », conclut-il.
Le rapport complet est disponible à l’adresse suivante : https://labs.withsecure.com/publications/meet-the-ducks.