Une opération de phishing de grande ampleur est actuellement en train d'être menée contre les comptes Facebook Business de plusieurs entreprises, a annoncé Withsecure, entreprise spécialisée dans la sécurité informatique, et confirmé par l'un des porte-paroles de Meta. Celle-ci aurait même débutée depuis le deuxième semestre de 2021.

Baptisée Ducktail, cette opération qualifiée de cybercriminelle cible les individus et les entreprises qui opèrent sur la plateforme Business de Facebook.

Comment s'opèrent ces attaques?

Concrètement le hackeur cible ses victimes via Linkedin avant de les convaincre de télécharger un fichier stocké sur un cloud et contenant des mots clés relatifs à leurs entreprises. Le hic, c'est que ce fichier contient également un malware de vol de données.

Un exemple de fichier envoyé par le hackeur (Source: Withsecure)

D'après les informations recueillis par Withsecure, le hackeur cible les personnes et les employés, généralement bien placés dans la hiérarchie de leurs entreprises, qui peuvent avoir accès à un compte Facebook Business. Ce malware est conçu pour voler les cookies du navigateur et détourne les sessions Facebook authentifiées pour dérober des informations de la victime, notamment les informations du compte, les données de localisation et les codes d'authentification à deux facteurs. Le malware permet également au hackeur de détourner tout compte Facebook Business auquel la victime a un accès suffisant, simplement en ajoutant son adresse e-mail au compte compromis.

Le déroulé de l'opération de phishing (Source: Withsecure)

Quelles motivations derrière ces attaques?

Sur la base de l'analyse et des données recueillies par Withsecure, cette opération de phishing de grande ampleur est menée depuis le Vietnam et est jugée sérieuse et dangereuse. Le hackeur derrière cette opération serait un cybercriminel actif sur le web depuis la fin de l'année 2018.

Quant aux motivations, elles seraient seulement d'ordre financières. Selon les premiers éléments de l'investigation menée par Withsecure, une fois les comptes Facebook Business récupérés par le hackeur, celui-ci change les coordonnées financières de l'entreprise à son profit.

Les premières transactions effectuées par le hackeur à travers ces comptes Facebook Business piratés montrent que celui-ci les fait pour lancer des campagnes de Facebook Ad.

Découvrez notre nouveau parcours en Cybersécurité
GOMYCODE a décidé de lancer sa formation en part-time en cybersécurité afin de vous permettre de comprendre ses principes et de lancer votre une carrière dans ce domaine.

Quel impact jusqu'à présent sur les comptes Facebook Business?

WithSecure ne peut pas encore déterminer si cette opération à grande ampleur est un succès ou un échec du hacker et combien de comptes ont pu être touchés. Cependant, une chose est sûre, ces derniers ont continué à mettre à jour et à faire évoluer le malware dans le but d'améliorer sa capacité à contourner les fonctions de sécurité existantes et nouvelles de Facebook. Pour le moment plusieurs comptes répartis entre l'Europe, le Moyen-Orient, l'Afrique et l'Amérique du Nord ont été victimes de Ducktail.

"Nous accueillons favorablement les recherches en matière de sécurité sur les menaces visant notre secteur. Il s'agit d'un espace hautement conflictuel et nous savons que ces groupes malveillants continueront à essayer d'échapper à notre détection. Nous sommes conscients de l'existence de ces escrocs particuliers, nous les combattons régulièrement et nous continuons à mettre à jour nos systèmes pour détecter ces tentatives. Comme ces logiciels malveillants sont généralement téléchargés hors plateforme, nous encourageons les gens à être prudents quant aux logiciels qu'ils installent sur leurs appareils" a pour sa part affirmé à TechCrunch un des porte-paroles de Facebook sans donner plus de détails.

À suivre...


En bonus:

Voici 5 virus informatiques qui ont marqué l'histoire:


Vous souhaitez vous prémunir ou prémunir votre entreprise d'attaques éventuelles? Devenez un expert en cybesécurité en suivant notre formation. Retrouvez le programme de formation sur notre site web ou contactez nos conseillers pédagogiques.