En økonomisk motiveret trusselsaktør rettet mod enkeltpersoner og organisationer på Facebooks Ads and Business platform har genoptaget driften efter en kort pause med en ny pose tricks til at kapre konti og drage fordel af dem.
Den Vietnam-baserede trusselkampagne, kaldet Ducktail, har været aktiv siden mindst maj 2021 og har påvirket brugere med Facebook-virksomhedskonti i USA og mere end tre dusin andre lande. Sikkerhedsforskere fra WithSecure (tidligere F-Secure), der sporer Ducktail, har vurderet, at trusselsaktørens primære mål er at skubbe annoncer svigagtigt ud via Facebook-virksomhedskonti, som det lykkes dem at få kontrol over.
Udviklende taktik
WithSecure opdagede Ducktails aktivitet tidligere i år og afslørede detaljer om dens taktik og teknikker i et blogindlæg i juli. Videregivelsen tvang Ducktails operatører til at indstille driften kortvarigt, mens de udtænkte nye metoder til at fortsætte med deres kampagne.
I september, Andehale dukkede op igen med ændringer i den måde, den fungerer på, og til dens mekanismer til at undgå opdagelse. Langt fra at gå langsommere, ser det ud til, at gruppen har udvidet sine aktiviteter, og at flere tilknyttede grupper er blevet integreret i sin kampagne, sagde WithSecure i en rapport den 22. november.
Ud over at bruge LinkedIn som en mulighed for spear-phishing-mål, som det gjorde i tidligere kampagner, er Andehale-gruppen nu begyndt at bruge WhatsApp til målretning mod brugere såvel. Gruppen har også justeret mulighederne for sin primære informationstyver og har vedtaget et nyt filformat til det for at undgå opdagelse. I løbet af de sidste to eller tre måneder har Ducktail også registreret flere svigagtige virksomheder i Vietnam, tilsyneladende som en dækning for at opnå digitale certifikater til at signere deres malware.
"Vi mener, at Ducktail-operationen udelukkende bruger kapret virksomhedskontoadgang til at tjene penge ved at skubbe svigagtige annoncer ud," siger Mohammad Kazem Hassan Nejad, en forsker ved WithSecure Intelligence.
I situationer, hvor trusselsaktøren får adgang til rollen som finansredaktør på en kompromitteret Facebook-virksomhedskonto, har de også mulighed for at ændre virksomhedens kreditkortoplysninger og finansielle detaljer, såsom transaktioner, fakturaer, kontoudgifter og betalingsmetoder, siger Nejad. . Dette ville give trusselsaktøren mulighed for at tilføje andre virksomheder til kreditkortet og månedlige fakturaer og bruge de tilknyttede betalingsmetoder til at køre annoncer.
"Den kaprede virksomhed kunne derfor bruges til formål som reklame, svindel eller endda til at sprede desinformation," siger Nejad. "Trusselsaktøren kunne også bruge deres nyfundne adgang til at afpresse en virksomhed ved at låse dem ude af deres egen side."
Målrettede angreb
Ducktails operatørers taktik er først at identificere organisationer, der har en Facebook Business- eller Ads-konto, og derefter målrette mod personer inden for de virksomheder, som de opfatter som havende adgang på højt niveau til kontoen. Personer, som gruppen typisk har rettet mod, omfatter personer med lederroller eller roller inden for digital markedsføring, digitale medier og menneskelige ressourcer.
Angrebskæden starter med, at trusselsaktøren sender den målrettede person et spyd-phishing-lokkemiddel via LinkedIn eller WhatsApp. Brugere, der falder for lokket, ender med at have Ducktails informationstyver installeret på deres system. Malwaren kan udføre flere funktioner, herunder at udtrække alle gemte browsercookies og Facebook-sessionscookies fra offermaskinen, specifikke registreringsdata, Facebook-sikkerhedstokens og Facebook-kontooplysninger.
Malwaren stjæler en bred vifte af oplysninger om alle virksomheder, der er knyttet til Facebook-kontoen, herunder navn, bekræftelsesstatistik, annonceudgiftsgrænser, roller, invitationslink, klient-id, annoncekontotilladelser, tilladte opgaver og adgangsstatus. Malwaren indsamler lignende oplysninger på alle annoncekonti, der er forbundet med den kompromitterede Facebook-konto.
Informationstyveren kan "stjæle information fra offerets Facebook-konto og kapre enhver Facebook Business-konto, som offeret har tilstrækkelig adgang til, ved at tilføje hackerkontrollerede e-mailadresser til virksomhedskontoen med administratorrettigheder og finansredaktørroller," siger Nejad. Tilføjelse af en e-mailadresse til en Facebook Business-konto beder Facebook om at sende et link via e-mail til den adresse - som i dette tilfælde kontrolleres af angriberen. Trusselsaktøren bruger det link til at få adgang til kontoen, ifølge WithSecure.
Trusselaktører med administratoradgang til et offers Facebook-konto kan gøre meget skade, herunder at tage fuld kontrol over virksomhedskontoen; visning og ændring af indstillinger, personer og kontooplysninger; og endda sletning af virksomhedsprofilen direkte, siger Nejad. Når et målrettet offer måske ikke har tilstrækkelig adgang til at tillade malwaren at tilføje trusselsaktørens e-mailadresser, har truslen aktør påberåbt sig de oplysninger, der er eksfiltreret fra ofrenes maskiner og Facebook-konti til at efterligne dem.
Opbygning af smartere malware
Nejad siger, at tidligere versioner af Ducktails informationstyver indeholdt en hårdkodet liste over e-mailadresser, der skulle bruges til at kapre virksomhedskonti.
"Men den seneste kampagne har vi observeret trusselsaktøren fjerne denne funktionalitet og udelukkende stole på at hente e-mail-adresser direkte fra dens kommando-og-kontrol-kanal (C2)," hostet på Telegram, siger forskeren. Ved lanceringen etablerer malwaren en forbindelse til C2 og venter i et stykke tid på at modtage en liste over angriberkontrollerede e-mailadresser for at fortsætte, tilføjer han.
Rapporten opregner flere trin, som organisationen kan tage for at mindske eksponeringen for Ducktail-lignende angrebskampagner, begyndende med at øge bevidstheden om spear-phishing-svindel rettet mod brugere med adgang til Facebook-virksomhedskonti.
Organisationer bør også håndhæve hvidlistning af applikationer for at forhindre ukendte eksekverbare filer i at køre, sikre, at alle administrerede eller personlige enheder, der bruges med firmaets Facebook-konti, har grundlæggende hygiejne og beskyttelse på plads, og bruge privat browsing til at godkende hver arbejdssession, når de får adgang til Facebook Business-konti.
