Aktor ancaman bermotivasi finansial yang menargetkan individu dan organisasi di platform Iklan dan Bisnis Facebook telah kembali beroperasi setelah jeda singkat, dengan sekumpulan trik baru untuk membajak akun dan mengambil keuntungan darinya.
Kampanye ancaman yang berbasis di Vietnam, dijuluki Ducktail, telah aktif setidaknya sejak Mei 2021 dan telah memengaruhi pengguna akun bisnis Facebook di Amerika Serikat dan lebih dari tiga lusin negara lainnya. Peneliti keamanan dari WithSecure (sebelumnya F-Secure) yang melacak Ducktail telah menilai bahwa tujuan utama aktor ancaman adalah mendorong iklan secara curang melalui akun bisnis Facebook yang berhasil mereka kendalikan.
Taktik yang Berkembang
WithSecure melihat aktivitas Ducktail awal tahun ini dan mengungkapkan detail taktik dan tekniknya dalam posting blog bulan Juli. Pengungkapan memaksa operator Ducktail untuk menangguhkan operasi sebentar sementara mereka merancang metode baru untuk melanjutkan kampanye mereka.
Di bulan September, Ducktail muncul kembali dengan perubahan cara kerjanya dan mekanismenya untuk menghindari deteksi. Jauh dari melambat, grup tersebut tampaknya telah memperluas operasinya, memasukkan beberapa grup afiliasi ke dalam kampanyenya, kata WithSecure dalam sebuah laporan pada 22 November.
Selain menggunakan LinkedIn sebagai jalan untuk target spear-phishing, seperti yang terjadi di kampanye sebelumnya, grup Ducktail sekarang sudah mulai menggunakan WhatsApp untuk menargetkan pengguna demikian juga. Grup ini juga mengubah kemampuan pencuri informasi utamanya dan mengadopsi format file baru untuknya, untuk menghindari deteksi. Selama dua atau tiga bulan terakhir, Ducktail juga telah mendaftarkan beberapa perusahaan penipuan di Vietnam, tampaknya sebagai kedok untuk mendapatkan sertifikat digital untuk menandatangani malware-nya.
“Kami yakin operasi Ducktail menggunakan akses akun bisnis yang dibajak semata-mata untuk menghasilkan uang dengan menyebarkan iklan penipuan,” kata Mohammad Kazem Hassan Nejad, seorang peneliti di WithSecure Intelligence.
Dalam situasi di mana pelaku ancaman mendapatkan akses ke peran editor keuangan di akun bisnis Facebook yang disusupi, mereka juga memiliki kemampuan untuk mengubah informasi kartu kredit bisnis dan detail keuangan, seperti transaksi, faktur, pengeluaran akun, dan metode pembayaran, kata Nejad. . Ini akan memungkinkan pelaku ancaman untuk menambahkan bisnis lain ke kartu kredit dan faktur bulanan, dan menggunakan metode pembayaran yang ditautkan untuk menjalankan iklan.
“Oleh karena itu, bisnis yang dibajak dapat digunakan untuk tujuan seperti iklan, penipuan, atau bahkan untuk menyebarkan disinformasi,” kata Nejad. “Aktor ancaman juga dapat menggunakan akses baru mereka untuk memeras perusahaan dengan mengunci mereka dari halaman mereka sendiri.”
Serangan yang Ditargetkan
Taktik operator Ducktail adalah pertama-tama mengidentifikasi organisasi yang memiliki akun Bisnis atau Iklan Facebook dan kemudian menargetkan individu di dalam perusahaan yang mereka anggap memiliki akses tingkat tinggi ke akun tersebut. Individu yang menjadi target grup biasanya termasuk orang-orang dengan peran manajerial atau peran dalam pemasaran digital, media digital, dan sumber daya manusia.
Rantai serangan dimulai dengan aktor ancaman mengirimkan umpan spear-phishing kepada individu yang ditargetkan melalui LinkedIn atau WhatsApp. Pengguna yang terpikat pada akhirnya menginstal pencuri informasi Ducktail di sistem mereka. Malware dapat melakukan banyak fungsi, termasuk mengekstraksi semua cookie browser yang disimpan dan cookie sesi Facebook dari mesin korban, data registri tertentu, token keamanan Facebook, dan informasi akun Facebook.
Malware mencuri berbagai informasi tentang semua bisnis yang terkait dengan akun Facebook, termasuk nama, statistik verifikasi, batas pengeluaran iklan, peran, tautan undangan, ID klien, izin akun iklan, tugas yang diizinkan, dan status akses. Malware mengumpulkan informasi serupa di akun iklan apa pun yang terkait dengan akun Facebook yang disusupi.
Pencuri informasi dapat “mencuri informasi dari akun Facebook korban dan membajak akun Facebook Business mana pun yang aksesnya cukup memadai bagi korban dengan menambahkan alamat email yang dikendalikan penyerang ke dalam akun bisnis dengan hak administrator dan peran editor keuangan,” kata Nejad. Menambahkan alamat email ke akun Facebook Business meminta Facebook untuk mengirimkan tautan melalui email ke alamat tersebut — yang, dalam hal ini, dikendalikan oleh penyerang. Pelaku ancaman menggunakan tautan itu untuk mendapatkan akses ke akun, menurut WithSecure.
Pelaku ancaman dengan akses admin ke akun Facebook korban dapat melakukan banyak kerusakan, termasuk mengambil kendali penuh atas akun bisnis; melihat dan mengubah pengaturan, orang, dan detail akun; dan bahkan langsung menghapus profil bisnis, kata Nejad. Ketika korban yang ditargetkan mungkin tidak memiliki akses yang memadai untuk memungkinkan malware menambahkan alamat email pelaku ancaman, pelaku ancaman mengandalkan informasi yang diambil dari mesin korban dan akun Facebook untuk menyamar sebagai mereka.
Membuat Malware yang Lebih Cerdas
Nejad mengatakan bahwa versi sebelumnya dari pencuri informasi Ducktail berisi daftar alamat email yang dikodekan untuk digunakan untuk membajak akun bisnis.
“Namun, dengan kampanye baru-baru ini, kami mengamati aktor ancaman menghapus fungsi ini dan sepenuhnya mengandalkan mengambil alamat email langsung dari saluran perintah-dan-kontrol (C2),” yang dihosting di Telegram, kata peneliti. Setelah diluncurkan, malware membuat koneksi ke C2 dan menunggu selama beberapa waktu untuk menerima daftar alamat email yang dikendalikan penyerang untuk melanjutkan, tambahnya.
Laporan tersebut mencantumkan beberapa langkah yang dapat diambil organisasi untuk mengurangi paparan kampanye serangan seperti Ducktail, dimulai dengan meningkatkan kesadaran akan penipuan spear-phishing yang menargetkan pengguna dengan akses ke akun bisnis Facebook.
Organisasi juga harus memberlakukan daftar putih aplikasi untuk mencegah eksekusi yang tidak diketahui berjalan, memastikan bahwa semua perangkat terkelola atau pribadi yang digunakan dengan akun Facebook perusahaan memiliki kebersihan dan perlindungan dasar, dan menggunakan penjelajahan pribadi untuk mengautentikasi setiap sesi kerja saat mengakses akun Facebook Business.
