Ένας παράγοντας απειλών με οικονομικά κίνητρα που στοχεύει άτομα και οργανισμούς στην πλατφόρμα Διαφημίσεων και Επιχειρήσεων του Facebook, ξεκίνησε ξανά τις δραστηριότητές του μετά από μια σύντομη παύση, με μια νέα σειρά τεχνασμάτων για την κλοπή λογαριασμών και το κέρδος από αυτούς.
Η εκστρατεία απειλών με βάση το Βιετνάμ, που ονομάστηκε Ducktail, είναι ενεργή τουλάχιστον από τον Μάιο του 2021 και έχει επηρεάσει χρήστες με επιχειρηματικούς λογαριασμούς στο Facebook στις Ηνωμένες Πολιτείες και σε περισσότερες από τρεις δωδεκάδες άλλες χώρες. Ερευνητές ασφαλείας από το WithSecure (πρώην F-Secure) που παρακολουθούν το Ducktail εκτίμησαν ότι ο πρωταρχικός στόχος του παράγοντα απειλής είναι να προωθήσει τις διαφημίσεις με δόλιο τρόπο μέσω επιχειρηματικών λογαριασμών Facebook στους οποίους καταφέρνουν να αποκτήσουν τον έλεγχο.
Εξελισσόμενες τακτικές
Το WithSecure εντόπισε τη δραστηριότητα του Ducktail νωρίτερα φέτος και αποκάλυψε λεπτομέρειες για τις τακτικές και τις τεχνικές του σε μια ανάρτηση ιστολογίου τον Ιούλιο. Η αποκάλυψη ανάγκασε τους χειριστές του Ducktail να αναστείλουν για λίγο τη λειτουργία τους, ενώ επινόησαν νέες μεθόδους για να συνεχίσουν την εκστρατεία τους.
Τον Σεπτέμβριο, Το Ducktail ξαναβγήκε στην επιφάνεια με αλλαγές στον τρόπο λειτουργίας και στους μηχανισμούς αποφυγής ανίχνευσης. Αντί να επιβραδύνει, η ομάδα φαίνεται να έχει επεκτείνει τις δραστηριότητές της, ενσωματώνοντας πολλαπλές ομάδες θυγατρικών στην καμπάνια της, ανέφερε η WithSecure σε μια αναφορά στις 22 Νοεμβρίου.
Εκτός από τη χρήση του LinkedIn ως λεωφόρο για στόχους ψαρέματος με δόρυ, όπως έκανε και στο προηγούμενες καμπάνιες, η ομάδα Ducktail έχει τώρα αρχίσει να χρησιμοποιεί WhatsApp για στόχευση χρηστών επισης. Η ομάδα έχει επίσης τροποποιήσει τις δυνατότητες της κύριας κλοπής πληροφοριών της και έχει υιοθετήσει μια νέα μορφή αρχείου για να αποφύγει τον εντοπισμό. Κατά τη διάρκεια των τελευταίων δύο ή τριών μηνών, η Ducktail έχει επίσης καταχωρίσει πολλές δόλιες εταιρείες στο Βιετνάμ, προφανώς ως κάλυμμα για την απόκτηση ψηφιακών πιστοποιητικών για την υπογραφή του κακόβουλου λογισμικού της.
«Πιστεύουμε ότι η επιχείρηση Ducktail χρησιμοποιεί πρόσβαση σε πειρατεία επαγγελματικού λογαριασμού καθαρά για να κερδίσει χρήματα προωθώντας δόλιες διαφημίσεις», λέει ο Mohammad Kazem Hassan Nejad, ερευνητής στο WithSecure Intelligence.
Σε περιπτώσεις όπου ο παράγοντας απειλής αποκτά πρόσβαση στον ρόλο του συντάκτη οικονομικών σε έναν παραβιασμένο επαγγελματικό λογαριασμό στο Facebook, έχει επίσης τη δυνατότητα να τροποποιήσει τα στοιχεία της επαγγελματικής πιστωτικής κάρτας και τα οικονομικά στοιχεία, όπως συναλλαγές, τιμολόγια, δαπάνες λογαριασμού και τρόπους πληρωμής, λέει ο Nejad. . Αυτό θα επιτρέψει στον παράγοντα απειλών να προσθέτει άλλες επιχειρήσεις στην πιστωτική κάρτα και τα μηνιαία τιμολόγια και να χρησιμοποιεί τις συνδεδεμένες μεθόδους πληρωμής για την προβολή διαφημίσεων.
«Η επιχείρηση που πειρατίστηκε θα μπορούσε επομένως να χρησιμοποιηθεί για σκοπούς όπως διαφήμιση, απάτη ή ακόμα και για τη διάδοση παραπληροφόρησης», λέει ο Nejad. «Ο ηθοποιός της απειλής θα μπορούσε επίσης να χρησιμοποιήσει την πρόσβασή του για να εκβιάσει μια εταιρεία κλειδώνοντάς την έξω από τη δική τους σελίδα».
Στοχευμένες επιθέσεις
Η τακτική των χειριστών του Ducktail είναι να εντοπίζουν πρώτα οργανισμούς που έχουν λογαριασμό Facebook Business ή Ads και στη συνέχεια να στοχεύουν άτομα εντός αυτών των εταιρειών που θεωρούν ότι έχουν πρόσβαση υψηλού επιπέδου στον λογαριασμό. Τα άτομα που στοχεύει συνήθως η ομάδα περιλαμβάνουν άτομα με διευθυντικούς ρόλους ή ρόλους στο ψηφιακό μάρκετινγκ, τα ψηφιακά μέσα και τους ανθρώπινους πόρους.
Η αλυσίδα επίθεσης ξεκινά με τον παράγοντα απειλών να στέλνει στο στοχευόμενο άτομο ένα δόρυ-ψαρέμα μέσω LinkedIn ή WhatsApp. Οι χρήστες που ερωτεύονται το δέλεαρ καταλήγουν να έχουν εγκατεστημένο στο σύστημά τους τον κλέφτη πληροφοριών του Ducktail. Το κακόβουλο λογισμικό μπορεί να εκτελέσει πολλαπλές λειτουργίες, συμπεριλαμβανομένης της εξαγωγής όλων των αποθηκευμένων cookie του προγράμματος περιήγησης και των cookie περιόδου λειτουργίας Facebook από το μηχάνημα του θύματος, συγκεκριμένα δεδομένα μητρώου, διακριτικά ασφαλείας Facebook και πληροφορίες λογαριασμού Facebook.
Το κακόβουλο λογισμικό κλέβει ένα ευρύ φάσμα πληροφοριών για όλες τις επιχειρήσεις που σχετίζονται με το λογαριασμό Facebook, όπως όνομα, στατιστικά στοιχεία επαλήθευσης, όρια δαπανών διαφημίσεων, ρόλους, σύνδεσμο πρόσκλησης, αναγνωριστικό πελάτη, δικαιώματα διαφημιστικού λογαριασμού, επιτρεπόμενες εργασίες και κατάσταση πρόσβασης. Το κακόβουλο λογισμικό συλλέγει παρόμοιες πληροφορίες για τυχόν διαφημιστικούς λογαριασμούς που σχετίζονται με τον παραβιασμένο λογαριασμό Facebook.
Ο κλέφτης πληροφοριών μπορεί να «κλέψει πληροφορίες από τον λογαριασμό Facebook του θύματος και να κλέψει οποιονδήποτε λογαριασμό Facebook Business στον οποίο το θύμα έχει επαρκή πρόσβαση προσθέτοντας διευθύνσεις email ελεγχόμενες από τον εισβολέα στον επιχειρηματικό λογαριασμό με δικαιώματα διαχειριστή και ρόλους οικονομικού συντάκτη», λέει ο Nejad. Η προσθήκη μιας διεύθυνσης email σε έναν επιχειρηματικό λογαριασμό στο Facebook ζητά από το Facebook να στείλει έναν σύνδεσμο μέσω email σε αυτήν τη διεύθυνση — η οποία, σε αυτήν την περίπτωση, ελέγχεται από τον εισβολέα. Ο παράγοντας απειλών χρησιμοποιεί αυτόν τον σύνδεσμο για να αποκτήσει πρόσβαση στον λογαριασμό, σύμφωνα με το WithSecure.
Οι φορείς απειλών με πρόσβαση διαχειριστή στον λογαριασμό Facebook ενός θύματος μπορούν να προκαλέσουν μεγάλη ζημιά, συμπεριλαμβανομένου του πλήρους ελέγχου του επαγγελματικού λογαριασμού. προβολή και τροποποίηση ρυθμίσεων, ατόμων και στοιχείων λογαριασμού. και μάλιστα διαγραφή του επιχειρηματικού προφίλ, λέει ο Nejad. Όταν ένα στοχευμένο θύμα μπορεί να μην έχει επαρκή πρόσβαση για να επιτρέψει στο κακόβουλο λογισμικό να προσθέσει τις διευθύνσεις ηλεκτρονικού ταχυδρομείου του δράστη απειλής, ο ηθοποιός έχει βασιστεί στις πληροφορίες που εξάγονται από τα μηχανήματα των θυμάτων και τους λογαριασμούς του Facebook για να τα μιμηθεί.
Δημιουργία εξυπνότερου κακόβουλου λογισμικού
Ο Nejad λέει ότι οι προηγούμενες εκδόσεις του κλέφτη πληροφοριών του Ducktail περιείχαν μια κωδικοποιημένη λίστα διευθύνσεων email που θα χρησιμοποιηθούν για την κλοπή επαγγελματικών λογαριασμών.
«Ωστόσο, με την πρόσφατη καμπάνια, παρατηρήσαμε τον παράγοντα απειλής να αφαιρεί αυτή τη λειτουργία και να βασίζεται εξ ολοκλήρου στην ανάκτηση διευθύνσεων email απευθείας από το κανάλι εντολών και ελέγχου (C2)» που φιλοξενείται στο Telegram, λέει ο ερευνητής. Κατά την εκτόξευση, το κακόβουλο λογισμικό δημιουργεί μια σύνδεση με το C2 και περιμένει για κάποιο χρονικό διάστημα για να λάβει μια λίστα με διευθύνσεις email που ελέγχονται από τους εισβολείς για να προχωρήσει, προσθέτει.
Η αναφορά παραθέτει πολλά βήματα που μπορεί να κάνει ο οργανισμός για να μειώσει την έκθεση σε καμπάνιες επίθεσης τύπου Ducktail, ξεκινώντας με την ευαισθητοποίηση σχετικά με τις απάτες spear-phishing που στοχεύουν χρήστες με πρόσβαση σε επαγγελματικούς λογαριασμούς στο Facebook.
Οι οργανισμοί θα πρέπει επίσης να επιβάλλουν τη λίστα επιτρεπόμενων εφαρμογών για να αποτρέψουν την εκτέλεση άγνωστων εκτελέσιμων αρχείων, να διασφαλίζουν ότι όλες οι διαχειριζόμενες ή προσωπικές συσκευές που χρησιμοποιούνται με εταιρικούς λογαριασμούς Facebook έχουν τη βασική υγιεινή και προστασία και να χρησιμοποιούν ιδιωτική περιήγηση για τον έλεγχο ταυτότητας κάθε συνεδρίας εργασίας κατά την πρόσβαση σε λογαριασμούς Facebook Business.
- blockchain
- πορτοφόλια κρυπτογράφησης
- κρυπτο -ανταλλαγή
- κυβερνασφάλεια
- εγκληματίες του κυβερνοχώρου
- Κυβερνασφάλεια
- Σκοτεινή ανάγνωση
- Υπουργείο Εσωτερικής Ασφάλειας
- ψηφιακά πορτοφόλια
- firewall
- Kaspersky
- malware
- Mcafee
- Nexbloc
- Πλάτων
- πλάτων αι
- Πληροφορία δεδομένων Plato
- Παιχνίδι Πλάτωνας
- Πλάτωνα δεδομένα
- platogaming
- VPN
- ιστοσελίδα της ασφάλειας
