Un acteur menaçant à motivation financière ciblant des individus et des organisations sur la plateforme Ads and Business de Facebook a repris ses activités après une brève interruption, avec un nouveau sac d'astuces pour détourner des comptes et en tirer profit.
La campagne de menace basée au Vietnam, surnommée Ducktail, est active depuis au moins mai 2021 et a affecté les utilisateurs disposant de comptes professionnels Facebook aux États-Unis et dans plus de trois douzaines d'autres pays. Les chercheurs en sécurité de WithSecure (anciennement F-Secure) qui suivent Ducktail ont évalué que l'objectif principal de l'acteur menaçant est de diffuser frauduleusement des publicités via des comptes professionnels Facebook sur lesquels ils parviennent à prendre le contrôle.
Tactiques en évolution
WithSecure a repéré l'activité de Ducktail plus tôt cette année et a divulgué les détails de ses tactiques et techniques dans un article de blog en juillet. La divulgation a forcé les opérateurs de Ducktail à suspendre brièvement les opérations pendant qu'ils concevaient de nouvelles méthodes pour poursuivre leur campagne.
En septembre, Queue de canard refait surface avec des modifications de son fonctionnement et de ses mécanismes pour échapper à la détection. Loin de ralentir, le groupe semble avoir étendu ses opérations, intégrant plusieurs groupes affiliés à sa campagne, a déclaré WithSecure dans un rapport du 22 novembre.
En plus d'utiliser LinkedIn comme une avenue pour les cibles de harponnage, comme il l'a fait dans campagnes précédentes, le groupe Ducktail a commencé à utiliser WhatsApp pour cibler les utilisateurs aussi bien. Le groupe a également modifié les capacités de son principal voleur d'informations et a adopté un nouveau format de fichier pour échapper à la détection. Au cours des deux ou trois derniers mois, Ducktail a également enregistré plusieurs sociétés frauduleuses au Vietnam, apparemment comme couverture pour obtenir des certificats numériques pour signer son logiciel malveillant.
"Nous pensons que l'opération Ducktail utilise l'accès au compte professionnel détourné uniquement pour gagner de l'argent en diffusant des publicités frauduleuses", déclare Mohammad Kazem Hassan Nejad, chercheur chez WithSecure Intelligence.
Dans les situations où l'acteur de la menace accède au rôle d'éditeur financier sur un compte professionnel Facebook compromis, il a également la possibilité de modifier les informations de carte de crédit professionnelle et les détails financiers, tels que les transactions, les factures, les dépenses du compte et les méthodes de paiement, explique Nejad. . Cela permettrait à l'auteur de la menace d'ajouter d'autres entreprises à la carte de crédit et aux factures mensuelles, et d'utiliser les méthodes de paiement liées pour diffuser des publicités.
"L'entreprise détournée pourrait donc être utilisée à des fins telles que la publicité, la fraude ou même la diffusion de fausses informations", explique Nejad. "L'acteur de la menace pourrait également utiliser son nouvel accès pour faire chanter une entreprise en l'excluant de sa propre page."
Attaques ciblées
La tactique des opérateurs de Ducktail est d'abord d'identifier les organisations qui ont un compte Facebook Business ou Ads, puis de cibler les individus au sein de ces entreprises qu'ils perçoivent comme ayant un accès de haut niveau au compte. Les personnes que le groupe a généralement ciblées comprennent des personnes occupant des postes de direction ou des rôles dans le marketing numérique, les médias numériques et les ressources humaines.
La chaîne d'attaque commence lorsque l'auteur de la menace envoie à l'individu ciblé un leurre de harponnage via LinkedIn ou WhatsApp. Les utilisateurs qui tombent dans le leurre finissent par avoir le voleur d'informations de Ducktail installé sur leur système. Le logiciel malveillant peut exécuter plusieurs fonctions, notamment extraire tous les cookies de navigateur stockés et les cookies de session Facebook de la machine victime, des données de registre spécifiques, des jetons de sécurité Facebook et des informations de compte Facebook.
Le malware vole un large éventail d'informations sur toutes les entreprises associées au compte Facebook, y compris le nom, les statistiques de vérification, les limites de dépenses publicitaires, les rôles, le lien d'invitation, l'ID client, les autorisations du compte publicitaire, les tâches autorisées et le statut d'accès. Le logiciel malveillant collecte des informations similaires sur tous les comptes publicitaires associés au compte Facebook compromis.
Le voleur d'informations peut "voler des informations sur le compte Facebook de la victime et détourner tout compte Facebook Business auquel la victime a un accès suffisant en ajoutant des adresses e-mail contrôlées par l'attaquant dans le compte professionnel avec des privilèges d'administrateur et des rôles d'éditeur financier", explique Nejad. L'ajout d'une adresse e-mail à un compte Facebook Business invite Facebook à envoyer un lien par e-mail à cette adresse - qui, dans ce cas, est contrôlée par l'attaquant. L'acteur de la menace utilise ce lien pour accéder au compte, selon WithSecure.
Les auteurs de menaces disposant d'un accès administrateur au compte Facebook d'une victime peuvent faire beaucoup de dégâts, notamment en prenant le contrôle total du compte professionnel ; afficher et modifier les paramètres, les personnes et les détails du compte ; et même en supprimant purement et simplement le profil de l'entreprise, dit Nejad. Lorsqu'une victime ciblée peut ne pas avoir un accès suffisant pour permettre au malware d'ajouter les adresses e-mail de l'acteur de la menace, l'acteur de la menace s'est appuyé sur les informations exfiltrées des machines et des comptes Facebook des victimes pour se faire passer pour eux.
Construire des logiciels malveillants plus intelligents
Nejad dit que les versions précédentes du voleur d'informations de Ducktail contenaient une liste codée en dur d'adresses e-mail à utiliser pour détourner des comptes professionnels.
"Cependant, avec la récente campagne, nous avons observé que l'acteur de la menace supprimait cette fonctionnalité et s'appuyait entièrement sur la récupération d'adresses e-mail directement à partir de son canal de commande et de contrôle (C2)", hébergé sur Telegram, explique le chercheur. Lors du lancement, le logiciel malveillant établit une connexion avec le C2 et attend pendant un certain temps pour recevoir une liste d'adresses e-mail contrôlées par l'attaquant afin de continuer, ajoute-t-il.
Le rapport énumère plusieurs mesures que l'organisation peut prendre pour atténuer l'exposition aux campagnes d'attaques de type Ducktail, en commençant par sensibiliser aux escroqueries de harponnage ciblant les utilisateurs ayant accès aux comptes professionnels Facebook.
Les organisations doivent également appliquer la liste blanche des applications pour empêcher l'exécution d'exécutables inconnus, s'assurer que tous les appareils gérés ou personnels utilisés avec les comptes Facebook de l'entreprise disposent d'une hygiène et d'une protection de base, et utiliser la navigation privée pour authentifier chaque session de travail lors de l'accès aux comptes Facebook Business.
- blockchain
- portefeuilles de crypto-monnaie
- cryptoexchange
- la cyber-sécurité
- les cybercriminels
- Cybersécurité
- Lecture sombre
- département de la Sécurité intérieure
- portefeuilles numériques
- pare-feu
- Kaspersky
- malware
- Mcafee
- NexBLOC
- Platon
- platon ai
- Intelligence des données Platon
- Jeu de Platon
- PlatonDonnées
- jeu de platogamie
- VPN
- la sécurité d'un site web
