Forscher von Unit 42 haben vor kurzem eine bisher nicht gemeldete Phishing-Kampagne entdeckt, bei der ein Infostealer verbreitet wurde, der in der Lage war, Facebook-Geschäftskonten vollständig zu übernehmen.
Facebook-Geschäftskonten wurden mit einem Phishing-Köder angegriffen, der Tools wie Tabellenkalkulationsvorlagen für Unternehmen anbot. Dies ist Teil eines wachsenden Trends von Angriffen, die auf Facebook-Geschäftskonten abzielen – für Werbebetrug und andere Zwecke. Der Trend kam im Juli 2022 mit der Entdeckung des Infostealers Ducktail auf.
Phishing zielt auf Facebook-Geschäftskonten
Etwa acht Monate später, im März 2023, wurde FakeGPT, eine neue Variante einer gefälschten Chrome-Extension für ChatGPT, die Facebook-Werbekonten kapert, gemeldet. Auch Unit 42 berichtete im April 2023 über Betrugsangriffe mit dem Thema ChatGPT. Im Mai 2023 tauchte ein Bericht von Meta über eine neue Information-Stealer-Malware namens NodeStealer auf, in dem eine Malware beschrieben wurde, die im Juli 2022 erstmals in Aktion trat. Im Januar 2023 wurden bösartige Aktivitäten in Zusammenhang mit NodeStealer identifiziert. NodeStealer ermöglichte es Angreifern dabei, Browser-Cookies zu stehlen, um Konten auf der Plattform zu kapern, wobei sie speziell auf Geschäftskonten abzielten.
Bei der Untersuchung des wachsenden Trends stießen die Forscher auf eine Kampagne, die im Dezember 2022 begann und über die bisher noch nicht berichtet wurde. Der in der Kampagne verbreitete Infostealer weist zahlreiche Ähnlichkeiten mit der von Meta analysierten NodeStealer-Variante vom Juli 2022 auf, die in JavaScript geschrieben war. Die neue Kampagne umfasste jedoch zwei in Python geschriebene Varianten, die mit zusätzlichen Funktionen zum Nutzen der Angreifer verbessert wurden. Diese statteten die Varianten mit Funktionen zum Diebstahl von Kryptowährungen, Downloader-Funktionen und der Fähigkeit zur vollständigen Übernahme von Facebook-Geschäftskonten aus.
Unbekannte Kampagne aufgedeckt
Im aktuellen Blogpost beleuchtet Unit 42 die noch nicht gemeldete Phishing-Kampagne, die auf Facebook-Geschäftskonten abzielt, näher und nimmt eine detaillierte Analyse der Malware vor. Darüber hinaus zeigen die Forscher die Ausführung der Malware aus der Perspektive von Cortex XDR (eingestellt auf den Modus „Detect Only“) auf. Die Forscher geben zudem Empfehlungen, wie Besitzer von Facebook-Geschäftskonten ihre Konten schützen können.
Mehr bei PaloAltoNetworks.com
Über Palo Alto Networks Palo Alto Networks, der weltweit führende Anbieter von Cybersicherheitslösungen, gestaltet die cloudbasierte Zukunft mit Technologien, die die Arbeitsweise von Menschen und Unternehmen verändern. Unsere Mission ist es, der bevorzugte Cybersicherheitspartner zu sein und unsere digitale Lebensweise zu schützen. Wir helfen Ihnen, die größten Sicherheitsherausforderungen der Welt mit kontinuierlichen Innovationen anzugehen, die die neuesten Durchbrüche in den Bereichen künstliche Intelligenz, Analytik, Automatisierung und Orchestrierung nutzen. Durch die Bereitstellung einer integrierten Plattform und die Stärkung eines wachsenden Ökosystems von Partnern sind wir führend beim Schutz von Zehntausenden von Unternehmen über Clouds, Netzwerke und mobile Geräte hinweg. Unsere Vision ist eine Welt, in der jeder Tag sicherer ist als der vorherige.