idNSA.id - Malware ini dirancang untuk mencuri cookie browser dan memanfaatkan session Facebook yang diautentikasi untuk mencuri informasi dari akun Facebook korban dan akhirnya membajak akun Facebook Business yang aksesnya cukup oleh korban.
"Pelaku menargetkan individu dan karyawan yang mungkin
memiliki akses ke akun Facebook Business dengan malware Infostealer," kata
perusahaan keamanan siber Finlandia WithSecure (sebelumnya F-Secure Business)
dalam sebuah laporan.
Serangan yang dikaitkan dengan pelaku kejahatan dari Vietnam,
dikatakan telah dimulai pada paruh kedua tahun 2021, dengan target utama adalah
individu dengan peran manajerial, digital marketing, media digital, dan human
resources di perusahaan.
Idenya adalah untuk menargetkan karyawan dengan akses tingkat
tinggi ke akun Facebook Business yang terkait dengan organisasi, menipu agar
mengunduh informasi iklan Facebook yang dihosting di Dropbox, Apple iCloud, dan
MediaFire.
Dalam beberapa kasus, file arsip yang berisi muatan berbahaya
juga dikirimkan ke korban melalui LinkedIn, yang pada akhirnya memungkinkan
penyerang mengambil alih akun Facebook Business.
Malware Infostealer yang ditulis dalam .NET Core, biner direkayasa untuk menggunakan Telegram untuk command-andcontrol dan eksfiltrasi data. WithSecure mengatakan telah mengidentifikasi delapan channel Telegram yang digunakan untuk tujuan ini.
Ia bekerja dengan memindai browser yang diinstal seperti
Google Chrome, Microsoft Edge, Brave Browser, dan Mozilla Firefox untuk
mengekstrak semua cookie yang disimpan dan token akses, di samping mencuri
informasi dari akun Facebook pribadi korban seperti nama, alamat email, tanggal
lahir , dan ID pengguna.
Juga dijarah adalah data dari bisnis dan akun iklan yang
terhubung ke akun pribadi korban, memungkinkan musuh untuk membajak akun dengan
menambahkan alamat email yang dikendalikan pelaku yang diambil dari channel
Telegram dan memberikan akses editor Admin dan Keuangan kepada diri mereka
sendiri.
Meskipun pengguna dengan peran Admin memiliki kontrol penuh
atas akun Facebook Business, pengguna dengan izin editor Keuangan dapat
mengedit informasi kartu kredit bisnis dan detail keuangan seperti transaksi,
faktur, pembelanjaan akun, dan metode pembayaran.
Data telemetri yang dikumpulkan oleh WithSecure menunjukkan
pola penargetan global yang mencakup sejumlah negara, termasuk Filipina, India,
Arab Saudi, Italia, Jerman, Swedia, dan Finlandia.
Administrator Facebook Business disarankan untuk meninjau
izin akses mereka dan menghapus pengguna yang tidak dikenal untuk mengamankan
akun.
Temuan ini merupakan indikator lain tentang bagaimana pelaku kejahatan
semakin mengandalkan aplikasi perpesanan yang sah seperti Discord dan Telegram,
menyalahgunakan fitur otomatisasi mereka untuk menyebarkan malware atau
memenuhi tujuan operasional mereka.
"Terutama digunakan bersama dengan info stealer,
penjahat dunia maya telah menemukan cara untuk menggunakan platform ini untuk
meng-host, mendistribusikan, dan menjalankan berbagai fungsi yang pada akhirnya
memungkinkan mereka mencuri kredensial atau informasi lain dari pengguna yang
tidak curiga," kata Intel 471 Selasa.
