Mimecast Logo
Richiedi un preventivo

    Compromissione degli account Facebook

    29 gennaio 2025

    Di Samantha Clarke, Hiwot Mendahun, Ankit Gupta e il team di ricerca sulle minacce di Mimecast

    Punti principali

    Cosa imparerai in questa notifica

    • Si rivolge prevalentemente alle aziende di vendita al dettaglio e media/editoria negli Stati Uniti e nel Regno Unito.
    • Le campagne vengono distribuite tramite Recruitee, un CMS di reclutamento legittimo
    • L'intento principale è quello di raccogliere le credenziali.

    Flusso della campagna

    Facebook-Account-Takeover-flow.jpg

    I ricercatori di minacce di Mimecast hanno recentemente monitorato una campagna di phishing che sfrutta Recruitee, un legittimo sistema di gestione dei clienti per il reclutamento. Gli attori delle minacce sfruttano la piattaforma per inviare email di offerte di lavoro fraudolente, ingannando gli utenti finali e potenzialmente eludendo i meccanismi di rilevamento utilizzando un servizio fidato. Inoltre, registrano domini simili e li incorporano nelle email generate da Recruitee, spacciandosi per marchi noti, aumentando così la credibilità delle loro truffe di phishing.

    Facebook-Account-Takeover-1.png


    L'esca di questa campagna si concentra su un'opportunità di lavoro fraudolenta per un Social Media Manager, attirando le vittime a cliccare su un link per candidarsi. Dopo un'indagine più approfondita, i domini utilizzati nelle campagne sono stati registrati di recente, utilizzando servizi come Porkbun e Hostinger, che sono preferiti dagli attori delle minacce per il loro basso costo, facilità d'uso e configurazione rapida.

    Una volta che l'utente clicca sul link, vengono utilizzati CAPTCHA casuali e il filtraggio di IP per scoraggiare il rilevamento automatico, prima che l'utente venga reindirizzato a una pagina di accesso.


    Facebook-Account-Takeover-2.png


    Viene presentata una pagina di phishing ben strutturata con marchi e loghi per aumentare la credibilità. L'obiettivo principale di queste campagne è raccogliere le credenziali di Facebook e all'utente viene chiesto di creare un account tramite Facebook o di inserire il proprio indirizzo email/numero di telefono. Entrambi i percorsi conducono l'utente a inserire le credenziali di Facebook.


    Facebook-Account-Takeover-3.png


    Dopo l'inserimento delle credenziali, all'utente viene quindi richiesta un'autenticazione a due fattori affinché l'aggressore possa prendere il controllo dell'account Facebook. Tutti i dettagli inseriti in queste pagine vengono automaticamente trasmessi ai logger di Telegram per garantire la tempestiva acquisizione degli account.


    Facebook-Account-Takeover-4.png


    L'attività della campagna mostra un picco significativo a settembre e ha ripreso alla fine di novembre.


    Facebook-Account-Takeover-5.png


    Tattiche, tecniche e procedure:

    T1566.002 - phishing: link di spear phishing
    T1598.002 - phishing per informazioni
    T1204.001 - esecuzione da parte dell'utente: link dannoso
    T1596.002 - ricerca di siti web/domini aperti per trovare risorse di proprietà della vittima (ad esempio, creazione di domini simili)
    T1189 - compromissione drive-by (siti di phishing con CAPTCHA/filtro IP)
    T1070.004 - rimozione dell'indicatore sull'host: esfiltrazione automatica tramite bot di Telegram

    Protezione Mimecast

    Abbiamo identificato diversi elementi nelle campagne che sono stati aggiunti alle nostre capacità di rilevamento.

    Obiettivi:

    Stati Uniti e Regno Unito, prevalentemente nel settore della vendita al dettaglio, media/editoria


    Indicatori di compromissione

    Oggetti:

    Il tuo talento ha attirato la nostra attenzione — Unisciti al team di Red Bull
    Sei pronto a portare il tuo talento a nuovi livelli con Red Bull?
    Sblocca il tuo potenziale: opportunità di lavoro esclusiva con Coca Cola

    URL:

    redbulldigitalteam[.]com
    redbull-socialmedia[.]com
    redbulldigitalcareers[.]com
    redbull-jobscareers[.]com
    redbullcareers-jobs[.]com
    digitalredbull-team[.]com
    redbullsociamedia-careers[.]com
    redbulldigital-socialmedia[.]com
    redbullcareers-digital[.]com
    redbullcareers-team[.]com
    digitalredbull-social[.]com
    cocacolacompany-application-dev-ed.develop.my.salesforce-sites[.]com
    cocacolateam-application-id23151232.netlify[.]app
    jobs-coca-cola[.]com
    victoriasecretdigital[.]com/application-work/id-23452345
    applicationworksocialmedia[.]com
    application-career[.]com

    Logger di Telegram:

    bot8072644097:AAH2AOm9SAvgBLsPjOG6THu51ULEcS-ImAg
    bot8042878074:AAHHoa9x7R5w1RiWVXxxRW49YkP-NYHuoWw
    bot7610902362:AAEeD7oxYZcbiI6UuCf3Y4s42pxYWVJRoaU


    Raccomandazioni

    • Assicurati di avere configurato una politica di URL Protect per proteggere l'organizzazione.
    • Controlla i registri URL Protect per verificare se i tuoi utenti hanno avuto accesso a uno dei servizi oggetto di abuso. 
    • Controlla i registri delle ricevute delle email per verificare se un'email con uno degli oggetti corrispondenti è stato consegnato ai tuoi utenti.
    • Informa gli utenti finali del costante utilizzo di strumenti legittimi in campagne dannose.
    Back to Top