फेसबुक के विज्ञापन और व्यापार मंच पर व्यक्तियों और संगठनों को लक्षित करने वाले एक वित्तीय रूप से प्रेरित खतरे वाले अभिनेता ने खातों को अपहृत करने और उनसे लाभ उठाने के लिए एक नई चाल के साथ एक संक्षिप्त अंतराल के बाद परिचालन फिर से शुरू कर दिया है।
डकटेल नाम का वियतनाम आधारित धमकी अभियान कम से कम मई 2021 से सक्रिय है और इसने संयुक्त राज्य अमेरिका और तीन दर्जन से अधिक अन्य देशों में फेसबुक व्यवसाय खातों वाले उपयोगकर्ताओं को प्रभावित किया है। डकटेल पर नज़र रखने वाले विदसिक्योर (पूर्व में एफ-सिक्योर) के सुरक्षा शोधकर्ताओं ने आकलन किया है कि धमकी देने वाले अभिनेता का प्राथमिक लक्ष्य फ़ेसबुक व्यवसाय खातों के माध्यम से धोखाधड़ी से विज्ञापनों को बाहर करना है, जिस पर वे नियंत्रण हासिल करने का प्रबंधन करते हैं।
विकसित रणनीति
विदसिक्योर ने इस साल की शुरुआत में डकटेल की गतिविधि देखी और जुलाई ब्लॉग पोस्ट में इसकी रणनीति और तकनीकों के विवरण का खुलासा किया। प्रकटीकरण डकटेल के संचालकों को अपने अभियान को जारी रखने के लिए नए तरीके ईजाद करने के दौरान संचालन को कुछ समय के लिए स्थगित करने के लिए मजबूर किया।
सितम्बर में, डकटेल फिर से जीवित हो गई पता लगाने से बचने के लिए इसके संचालन के तरीके और इसके तंत्र में परिवर्तन के साथ। सिक्योर ने 22 नवंबर को एक रिपोर्ट में कहा, धीमा होने से दूर, समूह ने अपने अभियानों का विस्तार किया है, कई संबद्ध समूहों को अपने अभियान में शामिल किया है।
भाला-फ़िशिंग लक्ष्यों के लिए लिंक्डइन को एवेन्यू के रूप में उपयोग करने के अलावा, जैसा कि इसमें किया गया था पिछले अभियान, डकटेल समूह ने अब उपयोग करना शुरू कर दिया है व्हाट्सएप यूजर्स को टारगेट कर रहा है भी। समूह ने अपनी प्राथमिक सूचना चुराने वाले की क्षमताओं में भी बदलाव किया है और पता लगाने से बचने के लिए इसके लिए एक नया फ़ाइल प्रारूप अपनाया है। पिछले दो या तीन महीनों के दौरान, डकटेल ने वियतनाम में कई धोखाधड़ी वाली कंपनियों को भी पंजीकृत किया है, जाहिरा तौर पर अपने मैलवेयर पर हस्ताक्षर करने के लिए डिजिटल प्रमाणपत्र प्राप्त करने के लिए एक कवर के रूप में।
विथसिक्योर इंटेलिजेंस के एक शोधकर्ता मोहम्मद काज़ेम हसन नेजाद कहते हैं, "हमारा मानना है कि डकटेल ऑपरेशन अपहृत व्यावसायिक खाते तक पहुंच का उपयोग विशुद्ध रूप से धोखाधड़ी वाले विज्ञापनों को बाहर करके पैसा बनाने के लिए करता है।"
नेजाद कहते हैं, ऐसी स्थितियों में जहां धमकी देने वाला अभिनेता एक समझौता किए गए फेसबुक व्यवसाय खाते पर वित्त संपादक की भूमिका तक पहुंच प्राप्त करता है, उनके पास व्यापार क्रेडिट कार्ड की जानकारी और वित्तीय विवरण, जैसे लेनदेन, चालान, खाता खर्च और भुगतान विधियों को संशोधित करने की क्षमता भी होती है। . यह धमकी देने वाले को क्रेडिट कार्ड और मासिक चालान में अन्य व्यवसायों को जोड़ने और विज्ञापनों को चलाने के लिए लिंक की गई भुगतान विधियों का उपयोग करने की अनुमति देगा।
नेजाद कहते हैं, "अपहृत व्यवसाय का उपयोग विज्ञापन, धोखाधड़ी या यहां तक कि गलत सूचना फैलाने जैसे उद्देश्यों के लिए किया जा सकता है।" "खतरा अभिनेता किसी कंपनी को अपने स्वयं के पेज से लॉक करके ब्लैकमेल करने के लिए अपनी नई पहुंच का उपयोग भी कर सकता है।"
लक्षित हमले
डकटेल के संचालकों की रणनीति पहले उन संगठनों की पहचान करना है जिनके पास फेसबुक व्यवसाय या विज्ञापन खाता है और फिर उन कंपनियों के भीतर व्यक्तियों को लक्षित करना है जिन्हें वे खाते में उच्च-स्तरीय पहुंच के रूप में देखते हैं। जिन व्यक्तियों को समूह ने विशेष रूप से लक्षित किया है उनमें डिजिटल मार्केटिंग, डिजिटल मीडिया और मानव संसाधन में प्रबंधकीय भूमिका या भूमिका वाले लोग शामिल हैं।
हमले की श्रृंखला लिंक्डइन या व्हाट्सएप के माध्यम से लक्षित व्यक्ति को भाला-फ़िशिंग लालच भेजने वाले खतरे वाले अभिनेता के साथ शुरू होती है। जो उपयोगकर्ता लालच में आते हैं, उनके सिस्टम पर डकटेल की सूचना चुराने वाला स्थापित हो जाता है। मैलवेयर पीड़ित मशीन से सभी संग्रहीत ब्राउज़र कुकीज़ और फेसबुक सत्र कुकीज़ निकालने, विशिष्ट रजिस्ट्री डेटा, फेसबुक सुरक्षा टोकन और फेसबुक खाता जानकारी सहित कई कार्य कर सकता है।
मैलवेयर फेसबुक खाते से जुड़े सभी व्यवसायों पर नाम, सत्यापन आंकड़े, विज्ञापन व्यय सीमा, भूमिकाएं, आमंत्रण लिंक, क्लाइंट आईडी, विज्ञापन खाता अनुमतियां, अनुमत कार्य और पहुंच स्थिति सहित कई प्रकार की जानकारी चुराता है। मैलवेयर हैक किए गए Facebook अकाउंट से जुड़े किसी भी विज्ञापन अकाउंट पर समान जानकारी एकत्र करता है।
सूचना चुराने वाला "पीड़ित के फेसबुक खाते से जानकारी चुरा सकता है और किसी भी फेसबुक व्यवसाय खाते को अपहृत कर सकता है, जिसमें हमलावर नियंत्रित ईमेल पते को व्यवस्थापक विशेषाधिकारों और वित्त संपादक भूमिकाओं के साथ व्यवसाय खाते में जोड़कर पर्याप्त पहुंच है," नेजाद कहते हैं। Facebook Business खाते में एक ईमेल पता जोड़ने से Facebook को उस पते पर ईमेल के माध्यम से एक लिंक भेजने का संकेत मिलता है — जो इस मामले में, हमलावर द्वारा नियंत्रित होता है। विथसिक्योर के अनुसार, धमकी देने वाला अभिनेता खाते तक पहुंच प्राप्त करने के लिए उस लिंक का उपयोग करता है।
किसी पीड़ित के फेसबुक अकाउंट तक एडमिन एक्सेस वाले थ्रेट एक्टर्स बहुत नुकसान कर सकते हैं, जिसमें बिजनेस अकाउंट का पूरा नियंत्रण लेना भी शामिल है; सेटिंग, लोग और खाता विवरण देखना और संशोधित करना; नेजाद कहते हैं, और यहां तक कि व्यावसायिक प्रोफ़ाइल को एकमुश्त हटा देना। जब एक लक्षित शिकार के पास मैलवेयर को धमकी देने वाले अभिनेता के ईमेल पते जोड़ने की अनुमति देने के लिए पर्याप्त पहुंच नहीं हो सकती है, तो खतरे ने पीड़ितों की मशीनों और फेसबुक खातों से उन्हें प्रतिरूपित करने के लिए जानकारी पर भरोसा किया है।
बिल्डिंग स्मार्टर मालवेयर
नेजाद का कहना है कि डकटेल के सूचना चुराने वाले के पिछले संस्करणों में व्यापार खातों को हाईजैक करने के लिए उपयोग करने के लिए ईमेल पतों की एक हार्ड-कोडेड सूची थी।
"हालांकि, हाल के अभियान के साथ, हमने देखा कि खतरा अभिनेता इस कार्यक्षमता को हटा रहा है और पूरी तरह से अपने कमांड-एंड-कंट्रोल चैनल (C2) से सीधे ईमेल पते लाने पर निर्भर है," टेलीग्राम पर होस्ट किया गया, शोधकर्ता कहते हैं। लॉन्च होने पर, मैलवेयर सी 2 से कनेक्शन स्थापित करता है और आगे बढ़ने के लिए हमलावर नियंत्रित ईमेल पतों की सूची प्राप्त करने के लिए कुछ समय तक प्रतीक्षा करता है।
रिपोर्ट में ऐसे कई कदमों की सूची दी गई है जो संगठन डकटेल जैसे हमले अभियानों के जोखिम को कम करने के लिए उठा सकता है, जिसकी शुरुआत फ़ेसबुक व्यवसाय खातों तक पहुंच वाले उपयोगकर्ताओं को लक्षित करने वाले स्पीयर-फ़िशिंग घोटालों के बारे में जागरूकता बढ़ाने से होती है।
संगठनों को अज्ञात निष्पादनयोग्य को चलने से रोकने के लिए एप्लिकेशन श्वेतसूची को भी लागू करना चाहिए, यह सुनिश्चित करना चाहिए कि कंपनी के Facebook खातों के साथ उपयोग किए जाने वाले सभी प्रबंधित या व्यक्तिगत उपकरणों में बुनियादी स्वच्छता और सुरक्षा हो, और Facebook Business खातों तक पहुँचते समय प्रत्येक कार्य सत्र को प्रमाणित करने के लिए निजी ब्राउज़िंग का उपयोग करें।
