פושעי סייבר ממנפים את הפרסום בפלטפורמות מדיה חברתית כמו פייסבוק בתור וקטור תקיפה כדי להפיץ נוזקות: "פושעי סייבר השתמשו זה מכבר במודעות הונאה בתור וקטור תקיפה כדי למקד קורבנות להונאות, ספאם, ועוד", אמר חוקר WithSecure – מוחמד קאזם חסן נג'אד והוסיף: "ועם עסקים הממנפים את טווח ההגעה של המדיה החברתית למטרות פרסום, יש לפושעי הסייבר סוג חדש ורווחי ביותר של מתקפות בארסנל שלהם – חטיפת חשבונות עסקיים."
מתקפות סייבר המכוונות לחשבונות Meta Business ו- Facebook צברו פופולריות במהלך השנה האחרונה, בעיקר על ידי קבוצות פשיעת סייבר כמו Ducktail הויאטנמית ו- NodeStealer הידועים כפושטים על עסקים ואנשים פרטיים הפועלים בפייסבוק. בין השיטות בהן נוקטים פושעי סייבר כדי לשהיג גישה בלתי מורשית לחשבונות משתמשים, יש להנדסה חברתית תפקיד משמעותי. פושעי הסייבר פונים לקורבנות דרך פלטפורמות שונות החל מפייסבוק ולינקדאין ועד לוואטסאפ ופורטלי עבודה עצמאיים כמו Upwork. מנגנון הפצה ידוע נוסף הוא השימוש בהרעלת תוצאות מנועי חיפוש כדי להעלות את נפח הורדת תוכנות מזויפות כגון CapCut, Notepad++, OpenAI ChatGPT, Google Bard ו- Meta Threads.
מרכיב שמשותף לקבוצות אלו הוא ניצול לרעה של שירות קיצור כתובות אתרים, טלגרם לפקודה ושליטה (C2) ושירותי ענן לגיטימיים כמו Trello, Discord, Dropbox, iCloud, OneDrive ו- Mediafire כדי לאחסן את הנוזקות. פושעי הסייבר שמאחורי Ducktail למשל, ממנפים פתיונות הקשורים למותגים ופרויקטים שיווקיים כדי לחדור לחשבונות פרטיים וחשבונות עסקיים הפועלים בפלטפורמת העסקים של Meta, באמצעות גלי מתקפות סייבר המשתמשים בנושאים הקשורים לעבודה ולגיוס. במתקפות אלו מופנים קורבנות פוטנציאליים לפרסומים מזויפים ב- Upwork וב- Frelancer באמצעות מודעות פייסבוק או LinkedIn InMail, אשר מכילות קישור לקובץ תיאור תפקיד – קובץ המאוחסן באחת מספקיות האחסון בענן הנזכרות לעיל ובסופו של דבר מוביל לפריסה של נוזקת גניבת המידע של Ducktail: "נוזקת Ducktail גונבת קובצי Cookie שמורים מדפדפנים, עם קוד מותאם במיוחד להשתלטות על חשבונות עסקיים של פייסבוק", ציינו בחברת ThreatLabz חוקרי הסייבר Zscaler, Sudeep Singh ו- Naveen Selvan וכן ציינו כי החשבונות נמכרים בסכומים שבין 15 ל- 340 דולר. חשוב להבין כי חשבונות פרוצים של מדיה חברתית מזינים כלכלה מחתרתית של חשבונות מדיה חברתית גנובים, שבה מציעים ספקים רבים חשבונות המתומחרים בהתאם לתועלת הנתפסת שלהם לפעילות הזדונית.
מתקפות הסייבר הללו כוללות שימוש בקיצורי דרך ובקבצי PowerShell להורדה והשקה של הנוזקה, מה שממחיש את המשך ההתפתחות הטקטית של פושעי הסייבר. המתקפה התרחבה גם לגניבת מידע אישי של משתמשי X (לשעבר טוויטר), TikTok Business ו- Google Ads, כמו גם מינוף קבצי ה- Session של פייסבוק הגנובים ליצירת מודעות הונאה באופן אוטומטי.
שיטה עיקרית המשמשת להשתלטות על החשבון שנפרץ של הקורבן היא על ידי הוספת כתובת דואר אלקטרוני של פושעי הסייבר לחשבון זה ולאחר מכן שינוי הסיסמה וכתובת האימייל של חשבון הפייסבוק של הקורבן כדי לנעול אותו מחוץ לשירות. "תכונה חדשה נוספת שנצפתה בדגימות Ducktail מאז (לפחות) יולי 2023 היא שימוש ב- RestartManager (RM) כדי להרוג תהליכים הנועלים מסדי נתונים של דפדפן", אמרו חוקרי הסייבר של WithSecure והוסיפו כי "יכולת זו נמצאת לעתים קרובות בכופרה, מכיוון שלא ניתן להצפין קבצים הנמצאים בשימוש על ידי תהליכים או שירותים". יתרה מכך, המטען הסופי מוסתר כדי לאפשר ביצוע שלו באופן דינמי בזמן ריצה, במה שנראה כניסיון לשלב טכניקות שמטרתן להתחמק מזיהוי.
חלק מהשיטות האחרות שאומצו על ידי פושעי הסייבר כדי לעכב זיהוי כוללות את השימוש בשמות assembly שנוצרו באופן ייחודי ואת ההסתמכות על מנגנונים שנועדו לטשטש את נוכחות הנוזקה. לטענת Zscaler, זוהו מקרים שבהם יזמה קבוצת הפשיעה קשר באמצעות חשבונות לינקדאין שנפרצו שהיו שייכים למשתמשים הפועלים בתחום השיווק הדיגיטלי, שלחלקם היו יותר מ- 500 קשרים ו- 1,000 עוקבים. "הכמות הגבוהה של קשרים / עוקבים עזרה להעניק אותנטיות לחשבונות שנפרצו ונגנבו והקלה עבור פושעי הסייבר על תהליך ההנדסה החברתית", אמרו החוקרים וכן ציינו כי הדבר גם מדגיש את ההפצה דמוית התולעת של Ducktail שבה אישורי לינקדאין וקבצי Cookie שנגנבו ממשתמש שנפל קורבן למתקפת נוזקה, משמשים כדי להתחבר לחשבונות אחרים וליצור קשר עם יעדים אחרים לצורך הרחבת את טווח ההגעה.
Ducktail הינה אחת מקבוצות פשעי סייבר ווייטנאמיים רבים הממנפים כלים וטקטיקות משותפים כדי להפעיל הונאות מסוג זה. השיטה כוללת גם עותק של Ducktail המכונה Duckport אשר פעילה מאז סוף מרץ 2023 ומבצעת גניבת מידע לצד חטיפת חשבונות Meta Business. במקום לספק קישורי הורדה ישירים לשירותי אירוח קבצים כגון דרופבוקס (מה שעשוי לעורר חשד), שולחת Duckport לקורבנות קישורים לאתרים ממותגים הקשורים למותג / חברה אליה הם מתחזים ולאחר מכן מפנה אותם להורדת קובץ הנוזקה משירותי אירוח קבצים (כגון Dropbox). יש לציין כי Duckport, למרות שהיא מבוססת על Ducktail, מגיעה גם עם תכונות חדשות המרחיבות את יכולות גניבת המידע וחטיפת החשבון, מצלמת צילומי מסך ועושה שימוש בשירותי רישום פתקים מקוונים כחלק משרשרת ה- C2 (פקודה ושליטה) שלה ובעצם מחליפה את Telegram כערוץ להעברת פקודות למכונה של הקורבן.
