یک عامل تهدید با انگیزه مالی که افراد و سازمانها را در پلتفرم تبلیغات و کسب و کار فیسبوک هدف قرار میدهد، پس از یک وقفه کوتاه، با مجموعهای از ترفندهای جدید برای ربودن حسابها و سود بردن از آنها، فعالیت خود را از سر گرفته است.
کمپین تهدید مستقر در ویتنام، موسوم به Ducktail، حداقل از ماه می 2021 فعال بوده است و کاربران دارای حساب های تجاری فیس بوک در ایالات متحده و بیش از سه ده کشور دیگر را تحت تاثیر قرار داده است. محققان امنیتی WithSecure (سابق F-Secure) که Ducktail را ردیابی میکنند، ارزیابی کردهاند که هدف اصلی عامل تهدید این است که از طریق حسابهای تجاری فیسبوک که کنترل آنها را به دست میآورند، تبلیغات را بهطور جعلی ارسال کند.
تاکتیک های در حال تکامل
WithSecure فعالیت Ducktail را در اوایل سال جاری شناسایی کرد و جزئیات تاکتیک ها و تکنیک های آن را در یک پست وبلاگ ماه جولای فاش کرد. افشای اپراتورهای Ducktail را مجبور کرد تا برای مدت کوتاهی عملیات خود را به حالت تعلیق درآورند در حالی که آنها روشهای جدیدی برای ادامه کمپین خود ابداع کردند.
در سپتامبر، دم اردک دوباره ظاهر شد با تغییراتی در نحوه عملکرد و مکانیسم های آن برای فرار از تشخیص. WithSecure در گزارشی در 22 نوامبر گفت که این گروه به دور از کاهش سرعت، به نظر می رسد که عملیات خود را گسترش داده است و چندین گروه وابسته را وارد کمپین خود کرده است.
علاوه بر استفاده از لینکدین به عنوان راهی برای اهداف فیشینگ نیزه ای، همانطور که در این مورد انجام شد کمپین های قبلی، گروه Ducktail اکنون شروع به استفاده از آن کرده است WhatsApp برای هدف قرار دادن کاربران همچنین. این گروه همچنین قابلیتهای دزد اطلاعات اولیه خود را تغییر داده و فرمت فایل جدیدی را برای فرار از شناسایی برای آن در نظر گرفته است. در طول دو یا سه ماه گذشته، Ducktail همچنین چندین شرکت کلاهبردار را در ویتنام به ثبت رسانده است، ظاهراً به عنوان پوششی برای دریافت گواهی دیجیتال برای امضای بدافزار خود.
محمدکاظم حسن نژاد، محقق در WithSecure Intelligence، میگوید: «ما معتقدیم که عملیات Ducktail از دسترسی به حسابهای تجاری ربوده شده صرفاً برای کسب درآمد از طریق انتشار تبلیغات جعلی استفاده میکند.
نژاد می گوید: در شرایطی که عامل تهدید به نقش ویرایشگر مالی در یک حساب تجاری در خطر افتاده فیس بوک دسترسی پیدا می کند، آنها همچنین می توانند اطلاعات کارت اعتباری تجاری و جزئیات مالی مانند تراکنش ها، فاکتورها، هزینه های حساب و روش های پرداخت را تغییر دهند. . این به عامل تهدید اجازه میدهد تا کسبوکارهای دیگر را به کارت اعتباری و صورتحسابهای ماهانه اضافه کند و از روشهای پرداخت مرتبط برای اجرای تبلیغات استفاده کند.
نژاد میگوید: «بنابراین کسبوکار ربوده شده میتواند برای مقاصدی مانند تبلیغات، کلاهبرداری یا حتی انتشار اطلاعات نادرست مورد استفاده قرار گیرد. عامل تهدید همچنین میتواند از دسترسی جدید خود برای باجگیری از یک شرکت با قفل کردن آنها از صفحه شخصی استفاده کند.»
حملات هدفمند
تاکتیک اپراتورهای Ducktail این است که ابتدا سازمانهایی را شناسایی کنند که دارای حساب تجاری یا تبلیغاتی در فیسبوک هستند و سپس افرادی را در آن شرکتهایی که از نظر آنها دسترسی سطح بالایی به حساب دارند، هدف قرار دهند. افرادی که این گروه معمولاً هدف قرار میدهد شامل افرادی با نقشهای مدیریتی یا نقشهایی در بازاریابی دیجیتال، رسانههای دیجیتال و منابع انسانی است.
زنجیره حمله زمانی شروع میشود که عامل تهدید از طریق لینکدین یا واتساپ برای فرد مورد نظر یک طعمه فیشینگ ارسال میکند. کاربرانی که شیفته تطمیع می شوند در نهایت دزد اطلاعات Ducktail را روی سیستم خود نصب می کنند. این بدافزار میتواند عملکردهای متعددی را انجام دهد، از جمله استخراج همه کوکیهای مرورگر ذخیرهشده و کوکیهای جلسه فیسبوک از دستگاه قربانی، دادههای رجیستری خاص، نشانههای امنیتی فیسبوک و اطلاعات حساب فیسبوک.
این بدافزار طیف گستردهای از اطلاعات مربوط به تمام مشاغل مرتبط با حساب فیسبوک را میدزدد، از جمله نام، آمار تأیید، محدودیتهای هزینههای تبلیغات، نقشها، پیوند دعوت، شناسه مشتری، مجوزهای حساب تبلیغات، وظایف مجاز، و وضعیت دسترسی. این بدافزار اطلاعات مشابهی را در مورد هر حساب تبلیغاتی مرتبط با حساب در معرض خطر فیس بوک جمع آوری می کند.
نژاد می گوید، دزد اطلاعات می تواند «اطلاعات را از حساب فیسبوک قربانی بدزدد و هر حساب تجاری فیس بوک را که قربانی به آن دسترسی کافی دارد، با افزودن آدرس های ایمیل کنترل شده توسط مهاجم به حساب تجاری با امتیازات سرپرست و نقش های ویرایشگر مالی ربوده است». افزودن یک آدرس ایمیل به یک حساب تجاری فیس بوک باعث می شود فیس بوک پیوندی را از طریق ایمیل به آن آدرس بفرستد - که در این مورد، توسط مهاجم کنترل می شود. به گفته WithSecure، عامل تهدید از این پیوند برای دسترسی به حساب کاربری استفاده می کند.
عوامل تهدید با دسترسی ادمین به حساب فیسبوک قربانی می توانند آسیب های زیادی وارد کنند، از جمله کنترل کامل حساب تجاری. مشاهده و تغییر تنظیمات، افراد و جزئیات حساب؛ نژاد می گوید و حتی حذف کامل نمایه کسب و کار. هنگامی که قربانی هدف ممکن است دسترسی کافی برای اجازه دادن به بدافزار برای افزودن آدرس ایمیل عامل تهدید نداشته باشد، عامل تهدید برای جعل هویت آنها به اطلاعات استخراج شده از ماشین های قربانیان و حساب های فیس بوک متکی است.
ساخت بدافزار هوشمندتر
نژاد میگوید نسخههای قبلی دزد اطلاعات Ducktail حاوی فهرستی از آدرسهای ایمیل با کد سخت بود که برای ربودن حسابهای تجاری استفاده میشد.
این محقق میگوید: «با این حال، با کمپین اخیر، ما مشاهده کردیم که عامل تهدید این قابلیت را حذف کرده و کاملاً به واکشی آدرسهای ایمیل به طور مستقیم از کانال فرمان و کنترل خود (C2) متکی است.» او اضافه میکند که پس از راهاندازی، بدافزار یک اتصال به C2 برقرار میکند و برای مدتی منتظر میماند تا لیستی از آدرسهای ایمیل کنترل شده توسط مهاجم را دریافت کند تا ادامه دهد.
این گزارش چندین مرحله را فهرست میکند که سازمان میتواند برای کاهش قرار گرفتن در معرض کمپینهای حمله مانند Ducktail انجام دهد، که با افزایش آگاهی در مورد کلاهبرداریهای spear-phishing که کاربرانی را که به حسابهای تجاری فیسبوک دسترسی دارند، شروع میکند.
سازمانها همچنین باید لیست سفید برنامهها را برای جلوگیری از اجرا شدن فایلهای اجرایی ناشناخته اعمال کنند، اطمینان حاصل کنند که تمام دستگاههای مدیریت شده یا شخصی که با حسابهای فیسبوک شرکت استفاده میشوند، بهداشت و حفاظت اولیه را دارند، و از مرور خصوصی برای احراز هویت هر جلسه کاری هنگام دسترسی به حسابهای Facebook Business استفاده کنند.