مهاجمان سایبری Ducktail، واتس اپ را به زنجیره حمله تجاری فیس بوک، هوش داده PlatoBlockchain اضافه می کنند. جستجوی عمودی Ai.

مهاجمان سایبری Ducktail WhatsApp را به زنجیره حملات تجاری فیس بوک اضافه کنند

تمبر زمان: 22 نوامبر 2022، 4:37 بعد از ظهر

یک عامل تهدید با انگیزه مالی که افراد و سازمان‌ها را در پلتفرم تبلیغات و کسب و کار فیس‌بوک هدف قرار می‌دهد، پس از یک وقفه کوتاه، با مجموعه‌ای از ترفندهای جدید برای ربودن حساب‌ها و سود بردن از آنها، فعالیت خود را از سر گرفته است.

کمپین تهدید مستقر در ویتنام، موسوم به Ducktail، حداقل از ماه می 2021 فعال بوده است و کاربران دارای حساب های تجاری فیس بوک در ایالات متحده و بیش از سه ده کشور دیگر را تحت تاثیر قرار داده است. محققان امنیتی WithSecure (سابق F-Secure) که Ducktail را ردیابی می‌کنند، ارزیابی کرده‌اند که هدف اصلی عامل تهدید این است که از طریق حساب‌های تجاری فیس‌بوک که کنترل آن‌ها را به دست می‌آورند، تبلیغات را به‌طور جعلی ارسال کند.

تاکتیک های در حال تکامل

WithSecure فعالیت Ducktail را در اوایل سال جاری شناسایی کرد و جزئیات تاکتیک ها و تکنیک های آن را در یک پست وبلاگ ماه جولای فاش کرد. افشای اپراتورهای Ducktail را مجبور کرد تا برای مدت کوتاهی عملیات خود را به حالت تعلیق درآورند در حالی که آنها روش‌های جدیدی برای ادامه کمپین خود ابداع کردند.

در سپتامبر، دم اردک دوباره ظاهر شد با تغییراتی در نحوه عملکرد و مکانیسم های آن برای فرار از تشخیص. WithSecure در گزارشی در 22 نوامبر گفت که این گروه به دور از کاهش سرعت، به نظر می رسد که عملیات خود را گسترش داده است و چندین گروه وابسته را وارد کمپین خود کرده است.

علاوه بر استفاده از لینکدین به عنوان راهی برای اهداف فیشینگ نیزه ای، همانطور که در این مورد انجام شد کمپین های قبلی، گروه Ducktail اکنون شروع به استفاده از آن کرده است WhatsApp برای هدف قرار دادن کاربران همچنین. این گروه همچنین قابلیت‌های دزد اطلاعات اولیه خود را تغییر داده و فرمت فایل جدیدی را برای فرار از شناسایی برای آن در نظر گرفته است. در طول دو یا سه ماه گذشته، Ducktail همچنین چندین شرکت کلاهبردار را در ویتنام به ثبت رسانده است، ظاهراً به عنوان پوششی برای دریافت گواهی دیجیتال برای امضای بدافزار خود.

محمدکاظم حسن نژاد، محقق در WithSecure Intelligence، می‌گوید: «ما معتقدیم که عملیات Ducktail از دسترسی به حساب‌های تجاری ربوده شده صرفاً برای کسب درآمد از طریق انتشار تبلیغات جعلی استفاده می‌کند. 

نژاد می گوید: در شرایطی که عامل تهدید به نقش ویرایشگر مالی در یک حساب تجاری در خطر افتاده فیس بوک دسترسی پیدا می کند، آنها همچنین می توانند اطلاعات کارت اعتباری تجاری و جزئیات مالی مانند تراکنش ها، فاکتورها، هزینه های حساب و روش های پرداخت را تغییر دهند. . این به عامل تهدید اجازه می‌دهد تا کسب‌وکارهای دیگر را به کارت اعتباری و صورت‌حساب‌های ماهانه اضافه کند و از روش‌های پرداخت مرتبط برای اجرای تبلیغات استفاده کند.

نژاد می‌گوید: «بنابراین کسب‌وکار ربوده شده می‌تواند برای مقاصدی مانند تبلیغات، کلاهبرداری یا حتی انتشار اطلاعات نادرست مورد استفاده قرار گیرد. عامل تهدید همچنین می‌تواند از دسترسی جدید خود برای باج‌گیری از یک شرکت با قفل کردن آن‌ها از صفحه شخصی استفاده کند.»

حملات هدفمند

تاکتیک اپراتورهای Ducktail این است که ابتدا سازمان‌هایی را شناسایی کنند که دارای حساب تجاری یا تبلیغاتی در فیس‌بوک هستند و سپس افرادی را در آن شرکت‌هایی که از نظر آنها دسترسی سطح بالایی به حساب دارند، هدف قرار دهند. افرادی که این گروه معمولاً هدف قرار می‌دهد شامل افرادی با نقش‌های مدیریتی یا نقش‌هایی در بازاریابی دیجیتال، رسانه‌های دیجیتال و منابع انسانی است. 

زنجیره حمله زمانی شروع می‌شود که عامل تهدید از طریق لینکدین یا واتس‌اپ برای فرد مورد نظر یک طعمه فیشینگ ارسال می‌کند. کاربرانی که شیفته تطمیع می شوند در نهایت دزد اطلاعات Ducktail را روی سیستم خود نصب می کنند. این بدافزار می‌تواند عملکردهای متعددی را انجام دهد، از جمله استخراج همه کوکی‌های مرورگر ذخیره‌شده و کوکی‌های جلسه فیس‌بوک از دستگاه قربانی، داده‌های رجیستری خاص، نشانه‌های امنیتی فیس‌بوک و اطلاعات حساب فیس‌بوک. 

این بدافزار طیف گسترده‌ای از اطلاعات مربوط به تمام مشاغل مرتبط با حساب فیس‌بوک را می‌دزدد، از جمله نام، آمار تأیید، محدودیت‌های هزینه‌های تبلیغات، نقش‌ها، پیوند دعوت، شناسه مشتری، مجوزهای حساب تبلیغات، وظایف مجاز، و وضعیت دسترسی. این بدافزار اطلاعات مشابهی را در مورد هر حساب تبلیغاتی مرتبط با حساب در معرض خطر فیس بوک جمع آوری می کند.

نژاد می گوید، دزد اطلاعات می تواند «اطلاعات را از حساب فیسبوک قربانی بدزدد و هر حساب تجاری فیس بوک را که قربانی به آن دسترسی کافی دارد، با افزودن آدرس های ایمیل کنترل شده توسط مهاجم به حساب تجاری با امتیازات سرپرست و نقش های ویرایشگر مالی ربوده است». افزودن یک آدرس ایمیل به یک حساب تجاری فیس بوک باعث می شود فیس بوک پیوندی را از طریق ایمیل به آن آدرس بفرستد - که در این مورد، توسط مهاجم کنترل می شود. به گفته WithSecure، عامل تهدید از این پیوند برای دسترسی به حساب کاربری استفاده می کند.

عوامل تهدید با دسترسی ادمین به حساب فیسبوک قربانی می توانند آسیب های زیادی وارد کنند، از جمله کنترل کامل حساب تجاری. مشاهده و تغییر تنظیمات، افراد و جزئیات حساب؛ نژاد می گوید و حتی حذف کامل نمایه کسب و کار. هنگامی که قربانی هدف ممکن است دسترسی کافی برای اجازه دادن به بدافزار برای افزودن آدرس ایمیل عامل تهدید نداشته باشد، عامل تهدید برای جعل هویت آنها به اطلاعات استخراج شده از ماشین های قربانیان و حساب های فیس بوک متکی است.

ساخت بدافزار هوشمندتر

نژاد می‌گوید نسخه‌های قبلی دزد اطلاعات Ducktail حاوی فهرستی از آدرس‌های ایمیل با کد سخت بود که برای ربودن حساب‌های تجاری استفاده می‌شد. 

این محقق می‌گوید: «با این حال، با کمپین اخیر، ما مشاهده کردیم که عامل تهدید این قابلیت را حذف کرده و کاملاً به واکشی آدرس‌های ایمیل به طور مستقیم از کانال فرمان و کنترل خود (C2) متکی است.» او اضافه می‌کند که پس از راه‌اندازی، بدافزار یک اتصال به C2 برقرار می‌کند و برای مدتی منتظر می‌ماند تا لیستی از آدرس‌های ایمیل کنترل شده توسط مهاجم را دریافت کند تا ادامه دهد.

این گزارش چندین مرحله را فهرست می‌کند که سازمان می‌تواند برای کاهش قرار گرفتن در معرض کمپین‌های حمله مانند Ducktail انجام دهد، که با افزایش آگاهی در مورد کلاهبرداری‌های spear-phishing که کاربرانی را که به حساب‌های تجاری فیس‌بوک دسترسی دارند، شروع می‌کند. 

سازمان‌ها همچنین باید لیست سفید برنامه‌ها را برای جلوگیری از اجرا شدن فایل‌های اجرایی ناشناخته اعمال کنند، اطمینان حاصل کنند که تمام دستگاه‌های مدیریت شده یا شخصی که با حساب‌های فیس‌بوک شرکت استفاده می‌شوند، بهداشت و حفاظت اولیه را دارند، و از مرور خصوصی برای احراز هویت هر جلسه کاری هنگام دسترسی به حساب‌های Facebook Business استفاده کنند.

تمبر زمان:

بیشتر از تاریک خواندن