Facebooki reklaami- ja äriplatvormil üksikisikuid ja organisatsioone sihiv rahaliselt motiveeritud ohustaja on pärast lühikest vaheaega tegevust jätkanud uue kotiga kontode kaaperdamiseks ja nendest tulu teenimiseks.
Vietnamis põhinev ohukampaania nimega Ducktail on olnud aktiivne vähemalt 2021. aasta maist ning on mõjutanud Facebooki ärikontodega kasutajaid USA-s ja enam kui kolmekümnes muus riigis. Ducktaili jälgivad WithSecure'i (endise nimega F-Secure) turvateadlased on hinnanud, et ohus osaleja peamine eesmärk on reklaame petturlikult välja suruda Facebooki ärikontode kaudu, mille üle neil õnnestub kontroll saada.
Arenev taktika
WithSecure märkas Ducktaili tegevust selle aasta alguses ja avalikustas selle taktika ja tehnika üksikasjad juulikuu ajaveebi postituses. Avalikustamine sundis Ducktaili operaatoreid korraks tegevuse peatama, kuni nad töötasid välja uued meetodid oma kampaania jätkamiseks.
Septembris Ducktail kerkis uuesti pinnale muudatustega selle toimimises ja tuvastamisest kõrvalehoidmise mehhanismides. Tundub, et grupp ei ole kaugeltki aeglustunud, vaid on laiendanud oma tegevust, kaasates oma kampaaniasse mitu sidusettevõtet, ütles WithSecure 22. novembri aruandes.
Lisaks LinkedIni kasutamisele oda andmepüügi sihtmärkide leidmiseks, nagu see tehti eelmised kampaaniad, on Ducktaili grupp nüüd kasutama hakanud WhatsApp kasutajate sihtimiseks samuti. Rühm on muutnud ka oma peamise teabevarasti võimalusi ja võtnud selle jaoks kasutusele uue failivormingu, et vältida tuvastamist. Viimase kahe või kolme kuu jooksul on Ducktail registreerinud Vietnamis ka mitu petturlikku ettevõtet, ilmselt kattevarjuks oma pahavara allkirjastamiseks digitaalsete sertifikaatide saamiseks.
"Usume, et Ducktaili operatsioon kasutab kaaperdatud ettevõtte kontole juurdepääsu puhtalt raha teenimiseks, tõrjudes välja petturlikke reklaame," ütleb WithSecure Intelligence'i teadur Mohammad Kazem Hassan Nejad.
Olukordades, kus ohus osaleja saab juurdepääsu ohustatud Facebooki ärikonto finantstoimetaja rollile, on neil võimalus muuta ka ettevõtte krediitkaarditeavet ja finantsandmeid, nagu tehingud, arved, konto kulutused ja makseviisid, ütleb Nejad. . See võimaldaks ohutegijal lisada krediitkaardile ja igakuistele arvetele teisi ettevõtteid ning kasutada reklaamide esitamiseks lingitud makseviise.
"Seepärast võidakse kaaperdatud ettevõtet kasutada näiteks reklaamimiseks, pettuseks või isegi desinformatsiooni levitamiseks," ütleb Nejad. "Ohunäitleja võib kasutada oma uut juurdepääsu ka ettevõtte väljapressimiseks, lukustades nad oma lehelt välja."
Sihitud rünnakud
Ducktaili operaatorite taktika on esmalt tuvastada organisatsioonid, millel on Facebooki äri- või reklaamikonto, ja seejärel sihtida nende ettevõtete üksikisikuid, kellel on nende arvates kontole kõrgetasemeline juurdepääs. Isikud, keda rühm on tavaliselt sihiks võtnud, hõlmavad inimesi, kellel on juhtiv roll või roll digitaalse turunduse, digitaalse meedia ja inimressursside valdkonnas.
Rünnaku ahel algab sellega, et ohus osaleja saadab sihikule LinkedIni või WhatsAppi kaudu andmepüügi peibutuse. Kasutajad, kes meelitama hakkavad, paigaldavad oma süsteemi Ducktaili teabevarasti. Pahavara võib täita mitmeid funktsioone, sealhulgas eraldada ohvri masinast kõik salvestatud brauseri küpsised ja Facebooki seansiküpsised, konkreetsed registriandmed, Facebooki turvamärgid ja Facebooki kontoteave.
Pahavara varastab laias valikus teavet kõigi Facebooki kontoga seotud ettevõtete kohta, sealhulgas nime, kinnitusstatistikat, reklaami kululimiite, rolle, kutselinki, kliendi ID-d, reklaamikonto õigusi, lubatud ülesandeid ja juurdepääsu olekut. Pahavara kogub sarnast teavet kõigi rikutud Facebooki kontoga seotud reklaamikontode kohta.
Teabevarastaja võib "varastada teavet ohvri Facebooki kontolt ja kaaperdada kõik Facebooki ettevõtte kontod, millele ohvril on piisav juurdepääs, lisades ettevõtte kontole ründaja kontrollitud meiliaadressid administraatoriõiguste ja finantstoimetaja rollidega," ütleb Nejad. E-posti aadressi lisamine Facebooki ettevõtte kontole palub Facebookil saata e-posti teel sellele aadressile link – mida antud juhul kontrollib ründaja. WithSecure'i andmetel kasutab ohus osaleja seda linki kontole juurdepääsu saamiseks.
Ohverdajad, kellel on administraatorijuurdepääs ohvri Facebooki kontole, võivad teha palju kahju, sealhulgas võtta ettevõtte konto üle täielik kontroll; seadete, inimeste ja konto üksikasjade vaatamine ja muutmine; ja isegi äriprofiili otsest kustutamist, ütleb Nejad. Kui sihitud ohvril ei pruugi olla piisavat juurdepääsu, et lubada pahavaral lisada ohus osaleja e-posti aadresse, on ähvardus ohvrite kehastamisel tuginenud ohvrite masinatest ja Facebooki kontodelt väljafiltreeritud teabele.
Nutikama pahavara loomine
Nejad ütleb, et Ducktaili teabevargise varasemad versioonid sisaldasid kõvakodeeritud e-posti aadresside loendit, mida kasutada ettevõtte kontode kaaperdamiseks.
"Kuid hiljutise kampaania käigus märkasime, et ohutegija eemaldas selle funktsiooni ja tugines täielikult e-posti aadresside toomisele otse oma käsu- ja juhtimiskanalist (C2)," majutati Telegramis, ütleb teadlane. Ta lisab, et käivitamisel loob pahavara ühenduse C2-ga ja ootab mõnda aega, et saada ründaja kontrollitud e-posti aadresside loend, lisab ta.
Aruandes loetletakse mitu sammu, mida organisatsioon saab võtta Ducktaili-laadsete rünnakukampaaniatega kokkupuutumise vähendamiseks, alustades teadlikkuse tõstmisest oda-andmepüügipettustest, mille sihtrühmaks on kasutajad, kellel on juurdepääs Facebooki ärikontodele.
Organisatsioonid peaksid jõustama ka rakenduste valgesse nimekirja lisamise, et takistada tundmatute käivitatavate failide käitamist, tagama, et kõigil hallatavatel või isiklikel seadmetel, mida ettevõtte Facebooki kontodega kasutatakse, oleks olemas elementaarne hügieen ja kaitse ning kasutama Facebook Businessi kontodele juurdepääsul iga tööseansi autentimiseks privaatset sirvimist.
