لقد تبين أن حسابات فيسبوك التجارية (Facebook Business) قد تم اختراقها من خلال استخدام أذونات/ملحقات المتصفح الضارة التي طورتها مجموعة Ducktail سيئة السمعة.

Ducktail عبارة عن برنامج مصمم خصيصًا لسرقة المعلومات ويمكن أن يكون له عواقب وخيمة، مثل انتهاكات الخصوصية والخسائر المالية وسرقة الهوية. وتمكنه تحديثاته المستمرة من تجاوز الإجراءات الأمنية لمعظم منصات التواصل الاجتماعي، وخاصةً استهداف الإعلانات وحسابات الأعمال.

الهدف الرئيسي من الاختراق هو استهداف حسابات فيسبوك الخاصة بموظفي المؤسسات الذين يشغلون مناصب عليا إلى حد ما أو يعملون في مجال الموارد البشرية، أو التسويق الرقمي، أو التسويق عبر وسائل التواصل الاجتماعي، كما أفادت كاسبرسكي.

حيث يقوم المجرمون بإرسال أرشيفات ضارة إلى الأشخاص المستهدفين؛ تتوفر الصور ومقاطع الفيديو المستندة إلى موضوع ما حول موضوع مشترك كطعم في الأرشيف.

تعتمد معظم رسائل البريد الإلكتروني الخاصة بالأرشيف على الموضات، على سبيل المثال، كان لدى كبار المشاركين في مجال الأزياء رسائل بريد إلكتروني مرسلة بأسمائهم تحتوي على أرشيفات تحتوي على صور للملابس.

• 

يبدو أن المستند تم تنسيقه كملف PDF، ولكنه يحتوي على ملفات ضارة يمكن أن تسبب ضررًا لجهاز الكمبيوتر الخاص بك.

بالإضافة إلى ذلك، تم اختيار أسماء الملفات بعناية لجعلها تبدو ذات صلة وإقناع المستلم بالنقر عليها. من المهم توخي الحذر عند التعامل مع الملفات غير المعروفة لتجنب المخاطر الأمنية المحتملة.

على الرغم من أن الأسماء في الحملة التي تحمل عنوان الموضة مرتبطة بـ “المبادئ التوجيهية والمتطلبات الخاصة بالمرشحين”، فقد يتم أيضًا استخدام أشكال أخرى من الطعم، مثل قوائم الأسعار أو العروض التجارية.

بعد فتح ملف exe أولاً، على أمل ألا يلاحظ الضحية أي شيء غريب، فإنه يُظهر محتويات ملف PDF الذي تم تضمين التعليمات البرمجية الضارة فيه.

والجدير بالذكر أنه في الوقت نفسه، تقوم البرامج الضارة بفحص جميع اختصارات أجهزة سطح المكتب وقائمة “ابدأ” وشريط أدوات التشغيل السريع.

فهو يبحث عن اختصارات للمتصفحات التي تعمل على منصة Chromium، مثل Microsoft Edge وVivaldi وBrave وGoogle Chrome. وبمجرد تحديد موقعه، يقوم الفيروس بتعديل سطر أوامر الملف القابل للتنفيذ ليشمل تعليمات لتثبيت ملحق المتصفح.

بعد ذلك، يقوم البرنامج النصي الخبيث بإنهاء عملية المتصفح، مما يدفع المستخدم إلى إعادة تشغيله باستخدام أحد الاختصارات المعدلة والامتدادات المزيفة التي يتم تنزيلها في أنظمته، حيث يستخدم الرمز والوصف المتطابقين لتمرير Google Docs Offline.