Ein finanziell motivierter Angreifer, der Einzelpersonen und Organisationen auf der Facebook-Plattform Ads and Business ins Visier nimmt, hat seinen Betrieb nach einer kurzen Pause wieder aufgenommen, mit einer neuen Trickkiste, um Konten zu kapern und davon zu profitieren.
Die in Vietnam ansässige Bedrohungskampagne mit dem Namen Ducktail ist mindestens seit Mai 2021 aktiv und hat Benutzer mit Facebook-Geschäftskonten in den Vereinigten Staaten und mehr als drei Dutzend anderen Ländern betroffen. Sicherheitsforscher von WithSecure (ehemals F-Secure), die Ducktail verfolgen, haben festgestellt, dass das Hauptziel des Angreifers darin besteht, Anzeigen in betrügerischer Weise über Facebook-Geschäftskonten zu schalten, über die sie die Kontrolle erlangen.
Sich entwickelnde Taktiken
WithSecure entdeckte die Aktivitäten von Ducktail Anfang dieses Jahres und veröffentlichte Details seiner Taktiken und Techniken in einem Blogbeitrag im Juli. Die Offenlegung zwang die Bediener von Ducktail, den Betrieb kurzzeitig einzustellen, während sie neue Methoden zur Fortsetzung ihrer Kampagne entwickelten.
Im September, Ducktail tauchte wieder auf mit Änderungen an der Art und Weise, wie es funktioniert und an seinen Mechanismen, um der Entdeckung zu entgehen. Weit davon entfernt, langsamer zu werden, scheint die Gruppe ihre Aktivitäten ausgeweitet zu haben und mehrere Partnergruppen in ihre Kampagne aufgenommen zu haben, sagte WithSecure in einem Bericht vom 22. November.
Zusätzlich zur Nutzung von LinkedIn als Weg für Spear-Phishing-Ziele, wie es in frühere Kampagnen, hat die Ducktail-Gruppe jetzt begonnen, sie zu verwenden WhatsApp für das Targeting von Benutzern auch. Die Gruppe hat auch die Fähigkeiten ihres primären Informationsdiebs optimiert und ein neues Dateiformat dafür eingeführt, um der Entdeckung zu entgehen. Im Laufe der letzten zwei oder drei Monate hat Ducktail auch mehrere betrügerische Unternehmen in Vietnam registriert, offenbar als Deckmantel für den Erhalt digitaler Zertifikate zum Signieren seiner Malware.
„Wir glauben, dass die Ducktail-Operation den entführten Zugang zu Geschäftskonten ausschließlich dazu nutzt, um Geld zu verdienen, indem sie betrügerische Werbung verbreitet“, sagt Mohammad Kazem Hassan Nejad, ein Forscher bei WithSecure Intelligence.
In Situationen, in denen der Angreifer Zugriff auf die Rolle des Finanzredakteurs auf einem kompromittierten Facebook-Geschäftskonto erhält, hat er auch die Möglichkeit, geschäftliche Kreditkarteninformationen und finanzielle Details wie Transaktionen, Rechnungen, Kontoausgaben und Zahlungsmethoden zu ändern, sagt Nejad . Dies würde es dem Angreifer ermöglichen, der Kreditkarte und den monatlichen Rechnungen weitere Unternehmen hinzuzufügen und die verknüpften Zahlungsmethoden zum Schalten von Anzeigen zu verwenden.
„Das gekaperte Geschäft könnte daher für Zwecke wie Werbung, Betrug oder sogar zur Verbreitung von Desinformationen verwendet werden“, sagt Nejad. „Der Angreifer könnte seinen neu gefundenen Zugang auch dazu nutzen, ein Unternehmen zu erpressen, indem er es von seiner eigenen Seite aussperrt.“
Gezielte Angriffe
Die Taktik der Betreiber von Ducktail besteht darin, zunächst Organisationen zu identifizieren, die über ein Facebook-Geschäfts- oder Ads-Konto verfügen, und dann Personen innerhalb dieser Unternehmen anzusprechen, von denen sie glauben, dass sie einen hochrangigen Zugriff auf das Konto haben. Zu den Personen, auf die die Gruppe typischerweise abzielt, gehören Personen mit Führungspositionen oder Rollen in den Bereichen digitales Marketing, digitale Medien und Personalwesen.
Die Angriffskette beginnt damit, dass der Angreifer der angegriffenen Person einen Spear-Phishing-Köder über LinkedIn oder WhatsApp sendet. Benutzer, die auf den Köder hereinfallen, haben am Ende den Informationsdieb von Ducktail auf ihrem System installiert. Die Malware kann mehrere Funktionen ausführen, darunter das Extrahieren aller gespeicherten Browser-Cookies und Facebook-Sitzungscookies vom Opfercomputer, spezifische Registrierungsdaten, Facebook-Sicherheitstoken und Facebook-Kontoinformationen.
Die Malware stiehlt eine Vielzahl von Informationen über alle mit dem Facebook-Konto verbundenen Unternehmen, darunter Name, Verifizierungsstatistiken, Werbeausgabenlimits, Rollen, Einladungslink, Kunden-ID, Werbekontoberechtigungen, zulässige Aufgaben und Zugriffsstatus. Die Malware sammelt ähnliche Informationen über alle Werbekonten, die mit dem kompromittierten Facebook-Konto verknüpft sind.
Der Informationsdieb kann „Informationen aus dem Facebook-Konto des Opfers stehlen und jedes Facebook-Geschäftskonto entführen, auf das das Opfer ausreichend Zugriff hat, indem er vom Angreifer kontrollierte E-Mail-Adressen mit Administratorrechten und Finanzredakteursrollen zum Geschäftskonto hinzufügt“, sagt Nejad. Das Hinzufügen einer E-Mail-Adresse zu einem Facebook-Geschäftskonto veranlasst Facebook, einen Link per E-Mail an diese Adresse zu senden – die in diesem Fall vom Angreifer kontrolliert wird. Laut WithSecure verwendet der Angreifer diesen Link, um Zugriff auf das Konto zu erhalten.
Bedrohungsakteure mit Administratorzugriff auf das Facebook-Konto eines Opfers können viel Schaden anrichten, einschließlich der vollständigen Kontrolle über das Geschäftskonto; Anzeigen und Ändern von Einstellungen, Personen und Kontodetails; und sogar das Unternehmensprofil vollständig löschen, sagt Nejad. Wenn ein anvisiertes Opfer möglicherweise nicht genügend Zugriff hat, um der Malware zu ermöglichen, die E-Mail-Adressen des Angreifers hinzuzufügen, hat sich der Angreifer auf die Informationen verlassen, die von den Computern und Facebook-Konten der Opfer exfiltriert wurden, um sich als sie auszugeben.
Intelligentere Malware entwickeln
Nejad sagt, dass frühere Versionen von Ducktails Informationsdieb eine fest kodierte Liste von E-Mail-Adressen enthielten, die zum Hijacking von Geschäftskonten verwendet werden sollten.
„Bei der jüngsten Kampagne haben wir jedoch beobachtet, dass der Bedrohungsakteur diese Funktionalität entfernt und sich vollständig darauf verlässt, E-Mail-Adressen direkt von seinem Befehls- und Kontrollkanal (C2) abzurufen“, sagt der Forscher, der auf Telegram gehostet wird. Beim Start stellt die Malware eine Verbindung zum C2 her und wartet eine gewisse Zeit, um eine Liste mit von Angreifern kontrollierten E-Mail-Adressen zu erhalten, um fortzufahren, fügt er hinzu.
Der Bericht listet mehrere Schritte auf, die Organisationen ergreifen können, um das Risiko von Ducktail-ähnlichen Angriffskampagnen zu verringern, beginnend mit der Sensibilisierung für Spear-Phishing-Betrug, der auf Benutzer mit Zugriff auf Facebook-Geschäftskonten abzielt.
Organisationen sollten auch das Whitelisting von Anwendungen erzwingen, um zu verhindern, dass unbekannte ausführbare Dateien ausgeführt werden, sicherstellen, dass alle verwalteten oder persönlichen Geräte, die mit Facebook-Unternehmenskonten verwendet werden, über grundlegende Hygiene und Schutz verfügen, und privates Surfen verwenden, um jede Arbeitssitzung beim Zugriff auf Facebook Business-Konten zu authentifizieren.
