Ducktail-verkkohyökkääjät Lisää WhatsApp Facebookin yrityshyökkäysketjuun

Facebookin Ads and Business -alustalla yksityishenkilöihin ja organisaatioihin kohdistuva taloudellisesti motivoitunut uhkatoimija on jatkanut toimintaansa lyhyen tauon jälkeen, ja hänellä on uusi pussi temppuja tilien kaappaamiseen ja niistä hyötymiseen.

Vietnamiin perustuva uhkauskampanja, nimeltään Ducktail, on ollut aktiivinen ainakin toukokuusta 2021 lähtien, ja se on vaikuttanut käyttäjiin, joilla on Facebook-yritystili Yhdysvalloissa ja yli kolmessakymmenessä muussa maassa. Ducktailia jäljittävät WithSecuren (entinen F-Securen) tietoturvatutkijat ovat arvioineet, että uhkatoimijan ensisijainen tavoite on työntää mainoksia vilpillisesti Facebook-yritystilien kautta, joihin he onnistuvat saamaan hallintaansa.

Kehittyvät taktiikat

WithSecure huomasi Ducktailin toiminnan aiemmin tänä vuonna ja paljasti yksityiskohdat sen taktiikoista ja tekniikoista heinäkuun blogiviestissä. Paljastus pakotti Ducktailin operaattorit keskeyttämään toimintansa hetkeksi, kun he keksivät uusia tapoja jatkaa kampanjaansa.

Syyskuussa, Ducktail nousi uudelleen pintaan sen toimintatapojen ja havaitsemisen välttämismekanismien muutoksilla. Ei suinkaan hidastunut, vaan ryhmä näyttää laajentaneen toimintaansa ja ottaneen mukaan useita sidosryhmiä kampanjaansa, WithSecure sanoi raportissaan 22. marraskuuta.

Sen lisäksi, että LinkedIniä käytettiin keihään kalastelukohteiden keinona, kuten se teki aikaisemmat kampanjat, Ducktail-ryhmä on nyt alkanut käyttää WhatsApp käyttäjille kohdistamiseen yhtä hyvin. Ryhmä on myös säätänyt ensisijaisen tietovarastajansa ominaisuuksia ja omaksunut sille uuden tiedostomuodon havaitsemisen välttämiseksi. Viimeisten kahden tai kolmen kuukauden aikana Ducktail on myös rekisteröinyt useita petollisia yrityksiä Vietnamissa, ilmeisesti suojatakseen digitaalisten sertifikaattien hankkimista haittaohjelmiensa allekirjoittamista varten.

"Uskomme, että Ducktail-operaatio käyttää kaapattua yritystiliä puhtaasti rahan ansaitsemiseen jakamalla vilpillisiä mainoksia", sanoo WithSecure Intelligencen tutkija Mohammad Kazem Hassan Nejad. 

Tilanteissa, joissa uhkatoimija pääsee talouseditorin rooliin vaarantuneella Facebook-yritystilillä, heillä on myös mahdollisuus muokata yrityksen luottokorttitietoja ja taloustietoja, kuten tapahtumia, laskuja, tilikuluja ja maksutapoja, Nejad sanoo. . Tämä antaisi uhkatekijälle mahdollisuuden lisätä muita yrityksiä luottokortti- ja kuukausilaskuihin ja käyttää linkitettyjä maksutapoja mainosten näyttämiseen.

"Kaapattua liiketoimintaa voidaan siksi käyttää mainontaan, petokseen tai jopa disinformaation levittämiseen", Nejad sanoo. "Uhkatoimija voisi myös käyttää uutta pääsyään kiristääkseen yritystä lukitsemalla hänet omalta sivultaan."

Kohdistetut hyökkäykset

Ducktailin operaattoreiden taktiikkana on tunnistaa ensin organisaatiot, joilla on Facebook Business- tai Ads-tili, ja sitten kohdistaa henkilöihin niissä yrityksissä, joilla heidän mielestään on korkeatasoinen pääsy tilille. Ryhmän kohderyhmänä ovat tyypillisesti henkilöt, joilla on esimiestehtäviä tai rooleja digitaalisessa markkinoinnissa, digitaalisessa mediassa ja henkilöstöresursseissa. 

Hyökkäysketju alkaa siitä, että uhkatoimija lähettää kohteena olevalle henkilölle keihäs-phishing-vieheen LinkedInin tai WhatsAppin kautta. Vieheen ihastuneiden käyttäjien järjestelmään asennetaan Ducktailin tietovarasto. Haittaohjelma voi suorittaa useita toimintoja, mukaan lukien poimia kaikki tallennetut selainevästeet ja Facebook-istuntoevästeet uhrin koneesta, tietyt rekisteritiedot, Facebookin suojaustunnukset ja Facebook-tilitiedot. 

Haittaohjelma varastaa laajan valikoiman tietoja kaikista Facebook-tiliin liittyvistä yrityksistä, mukaan lukien nimet, vahvistustilastot, mainosten kulutusrajat, roolit, kutsulinkin, asiakastunnuksen, mainostilin käyttöoikeudet, sallitut tehtävät ja käyttötilan. Haittaohjelma kerää samanlaisia ​​tietoja kaikista vaarantuneeseen Facebook-tiliin liittyvistä mainostileistä.

Tietovarastaja voi "varastaa tietoja uhrin Facebook-tililtä ja kaapata minkä tahansa Facebook Business -tilin, johon uhrilla on riittävä käyttöoikeus, lisäämällä hyökkääjän hallitsemia sähköpostiosoitteita yritystilille järjestelmänvalvojan oikeuksilla ja talouseditorin rooleilla", Nejad sanoo. Sähköpostiosoitteen lisääminen Facebook Business -tiliin kehottaa Facebookia lähettämään linkin sähköpostitse kyseiseen osoitteeseen – jota tässä tapauksessa hyökkääjä hallitsee. Uhkatoimija käyttää tätä linkkiä päästäkseen tilille WithSecuren mukaan.

Uhkatoimijat, joilla on järjestelmänvalvojan käyttöoikeudet uhrin Facebook-tiliin, voivat tehdä paljon vahinkoa, mukaan lukien yritystilin täyden hallinnan ottaminen; tarkastella ja muokata asetuksia, ihmisiä ja tilitietoja; ja jopa yritysprofiilin poistaminen kokonaan, Nejad sanoo. Kun kohteena olevalla uhrilla ei ehkä ole riittävästi pääsyä, jotta haittaohjelma voisi lisätä uhkatekijän sähköpostiosoitteita, uhkatekijä on käyttänyt uhrien koneilta ja Facebook-tileiltä suodatettuja tietoja esiintyäkseen uhrina.

Älykkäämpien haittaohjelmien luominen

Nejad sanoo, että Ducktailin tietovarastajan aiemmat versiot sisälsivät kovakoodatun luettelon sähköpostiosoitteista, joita käytettiin yritystilien kaappaamiseen. 

"Äskettäisessä kampanjassa havaitsimme kuitenkin, että uhkatoimija poisti tämän toiminnon ja luotti kokonaan sähköpostiosoitteiden hakemiseen suoraan komento- ja ohjauskanavastaan ​​(C2)," isännöi Telegramissa, tutkija kertoo. Käynnistyksen yhteydessä haittaohjelma muodostaa yhteyden C2:een ja odottaa jonkin aikaa saadakseen luettelon hyökkääjien ohjaamista sähköpostiosoitteista jatkaakseen, hän lisää.

Raportissa luetellaan useita toimenpiteitä, joita organisaatio voi toteuttaa vähentääkseen altistumista Ducktail-tyyppisille hyökkäyskampanjoille, alkaen tietoisuuden lisäämisestä keihäsphishing-huijauksista, jotka kohdistuvat käyttäjiin, joilla on pääsy Facebook-yritystileihin. 

Organisaatioiden tulee myös pakottaa sovellusten lisääminen sallittujen luetteloon estääkseen tuntemattomien suoritettavien tiedostojen suorittamisen, varmistaa, että kaikilla yrityksen Facebook-tileillä käytetyillä hallituilla tai henkilökohtaisilla laitteilla on perushygienia ja -suojaus, ja käyttää yksityistä selaamista jokaisen työistunnon todentamiseen Facebook Business -tilejä käytettäessä.