Allarme sicurezza per l’ecosistema pubblicitario di Meta
Secondo una nuova ricerca di WithSecure, le minacce che colpiscono gli account Meta Business sono sempre più diffuse tra i criminali informatici. Gli attacchi in questione manipolano le vittime per indurle a scaricare un malware utilizzando esche condivise tramite email, social media o mezzi simili.
I temi comuni alle esche osservate dai ricercatori in questi attacchi includono argomenti di tendenza (come ChatGPT), software popolari (come Notepad++), opportunità di lavoro (come annunci di lavoro o proposte di progetti) e informazioni sulle piattaforme pubblicitarie (come i tool di Ads Manager).
Dopo l’infezione, il malware ruba varie informazioni, tra cui i cookie di sessione di Facebook e le credenziali di accesso, consentendo all’attaccante di accedere all’account preso di mira. Alcuni malware possono anche dirottare gli account ed eseguire automaticamente annunci fraudolenti attraverso il computer della vittima. L’accesso a questi account offre agli attaccanti una serie di opportunità di guadagno come l’estorsione, la diffamazione o, più in particolare, l’invio di pubblicità fraudolente utilizzando il denaro/credito dell’organizzazione vittima.
“Questi gruppi spesso vendono annunci ad altri criminali informatici, a pagamento o con una partecipazione alle operazioni. Questo li rende una sorta di facilitatori per altri criminali informatici, che in ultima analisi danneggiano le aziende, la piattaforma e gli utenti. Inoltre, possono vendere molte delle informazioni che riescono a rubare, il che rappresenta un’ulteriore fonte di guadagno e causa ulteriori problemi alle vittime” ha dichiarato il ricercatore di WithSecure Mohammad Kazem Hassan Nejad, autore del rapporto.
Oltre a fornire una panoramica del problema, il rapporto analizza due minacce coinvolte in questi attacchi.
La prima, DUCKTAIL, è una minaccia che WithSecure Intelligence ha monitorato per circa un anno e mezzo. I ricercatori hanno riscontrato un’impennata significativa nell’attività di DUCKTAIL negli ultimi 6 mesi, oltre a diversi sviluppi degni di nota nell’operazione. Alcune delle evoluzioni più significative osservate includono il targeting degli account pubblicitari X/Twitter, un maggiore uso di tecniche di evasione/anti-analisi per evitare il rilevamento e altro ancora.
La seconda minaccia descritta nel rapporto, DUCKPORT, è stata scoperta da WithSecure Intelligence nel marzo 2023. Esistono notevoli sovrapposizioni tra DUCKTAIL e DUCKPORT, ma anche differenze significative che, secondo i ricercatori, ne giustificano il monitoraggio come minaccia separata. Alcune capacità esclusive di DUCKPORT includono la capacità di fare screenshot, di abusare dei servizi di condivisione di note online come parte della sua catena di comando e controllo, e molte altre descritte nel rapporto.
Secondo Neeraj Singh di WithSecure, Senior Security Researcher che ha partecipato alla ricerca, il coinvolgimento di gruppi diversi ma simili è indicativo di un certo livello di impegno tra gli avversari che operano in questo spazio.
“Questi diversi gruppi potrebbero attingere alle competenze di un pool di talenti comune, oppure potrebbero operare all’interno di un quadro di condivisione delle informazioni per scambiare strumenti e intuizioni sulle strategie efficaci. Inoltre, non si può trascurare il potenziale coinvolgimento di un intermediario che offra servizi specializzati simili al modello ransomware-as-a-service. Tuttavia, è evidente che lo spazio sta crescendo, il che indica un livello di successo raggiunto con questi attacchi”, conclude Singh.