Nel panorama digitale attuale, assistiamo a un aumento preoccupante dei crimini informatici che si concentrano sull’ecosistema pubblicitario di Meta. Secondo una recente indagine condotta da WithSecure, le minacce rivolte agli account Meta Business sono in costante espansione tra gli attori della criminalità informatica con base in Vietnam.
L’analisi di WithSecure Intelligence rivela che attualmente sono in atto diverse operazioni di sorveglianza, mirate specificamente a Meta Business e Facebook. I cyber attacchi operano attraverso la manipolazione di individui che detengono accesso agli account sotto attacco, al fine di infettarli con malware progettato per sottrarre informazioni preziose.
Gli aggressori riescono a ingannare le vittime inducendole a scaricare il malware attraverso esche distribuite tramite email, social media e altri canali simili. Le esche spesso si basano su argomenti di tendenza (come ad esempio “ChatGPT”), software ampiamente utilizzati (come “Notepad++”), opportunità di lavoro allettanti (quali annunci di impiego o proposte progettuali) e dettagli relativi alle piattaforme pubblicitarie (come gli strumenti di Ads Manager).
Una volta infettati, i malware in questione si occupano di sottrarre una vasta gamma di dati, inclusi i cookie di sessione di Facebook e le credenziali di accesso, permettendo così agli attaccanti di accedere agli account presi di mira. Taluni malware possono persino dirottare gli account e avviare automaticamente campagne pubblicitarie fraudolente sfruttando il dispositivo della vittima.
Il vantaggio ottenuto da parte degli aggressori, grazie all’accesso a questi account, si traduce in numerose opportunità di profitto: da estorsioni a diffamazioni, sino all’emissione di pubblicità ingannevoli impiegando i fondi o il credito delle organizzazioni vittime.
Mohammad Kazem Hassan Nejad, il ricercatore di spicco di WithSecure e autore del rapporto, sottolinea: “Questi gruppi spesso vendono annunci ad altri criminali informatici, a pagamento o con una partecipazione alle operazioni. Questo li rende una sorta di facilitatori per altri criminali informatici, che in ultima analisi danneggiano le aziende, la piattaforma e gli utenti. Inoltre, possono vendere molte delle informazioni che riescono a rubare, il che rappresenta un’ulteriore fonte di guadagno e causa ulteriori problemi alle vittime”.
Oltre a presentare un quadro generale dell’attuale sfida, il rapporto analizza due minacce rilevate in questi attacchi.
La prima minaccia, denominata DUCKTAIL, è stata sotto osservazione di WithSecure Intelligence per oltre un anno e mezzo. Recentemente, è stata rilevata un’impennata significativa nell’attività di DUCKTAIL negli ultimi sei mesi, con rilevanti sviluppi nell’ambito dell’operazione. I ricercatori hanno individuato un incremento nell’obiettivo di account pubblicitari X/Twitter e un maggiore ricorso a tecniche di elusione/anti-analisi per evitare la scoperta dell’attacco, tra altre evoluzioni.
La seconda minaccia descritta nel rapporto, nota come DUCKPORT, è stata scoperta da WithSecure Intelligence nel Marzo 2023. Mentre condivide alcune caratteristiche con DUCKTAIL, presenta anche differenze sostanziali che giustificano il suo monitoraggio come entità separata. DUCKPORT vanta peculiarità uniche, tra cui la capacità di catturare screenshot, l’abuso dei servizi di condivisione di note online come parte della sua struttura di controllo e comando, oltre ad altre capacità descritte in dettaglio nel rapporto.
Neeraj Singh di WithSecure, Senior Security Researcher coinvolto nella ricerca, fa notare che la partecipazione di gruppi diversi ma simili suggerisce un grado di collaborazione tra gli attori operanti in questo ambito.
“Questi diversi gruppi potrebbero attingere alle competenze di un pool di talenti comune, oppure potrebbero operare all’interno di un quadro di condivisione delle informazioni per scambiare strumenti e intuizioni sulle strategie efficaci. Inoltre, non si può trascurare il potenziale coinvolgimento di un intermediario che offra servizi specializzati simili al modello ransomware-as-a-service. Tuttavia, è evidente che lo spazio sta crescendo, il che indica un livello di successo raggiunto con questi attacchi”, conclude Singh.