Un attore di minacce motivato finanziariamente che prende di mira individui e organizzazioni sulla piattaforma Ads and Business di Facebook ha ripreso le operazioni dopo una breve pausa, con una nuova serie di trucchi per dirottare account e trarne profitto.
La campagna di minacce con sede in Vietnam, soprannominata Ducktail, è attiva almeno da maggio 2021 e ha colpito gli utenti con account aziendali di Facebook negli Stati Uniti e più di tre dozzine di altri paesi. I ricercatori di sicurezza di WithSecure (ex F-Secure) che stanno monitorando Ducktail hanno valutato che l'obiettivo principale dell'attore della minaccia è quello di diffondere annunci pubblicitari in modo fraudolento tramite account aziendali di Facebook di cui riescono a ottenere il controllo.
Tattiche in evoluzione
WithSecure ha individuato l'attività di Ducktail all'inizio di quest'anno e ha rivelato i dettagli delle sue tattiche e tecniche in un post sul blog di luglio. La divulgazione ha costretto gli operatori di Ducktail a sospendere brevemente le operazioni mentre escogitavano nuovi metodi per continuare la loro campagna.
Nel mese di settembre, Ducktail riemerse con modifiche al modo in cui opera e ai suoi meccanismi per eludere il rilevamento. Lungi dal rallentare, il gruppo sembra aver ampliato le sue operazioni, coinvolgendo più gruppi di affiliati nella sua campagna, ha affermato WithSecure in un rapporto del 22 novembre.
Oltre a utilizzare LinkedIn come via per gli obiettivi di spear phishing, come ha fatto in campagne precedenti, il gruppo Ducktail ha ora iniziato a utilizzare WhatsApp per il targeting degli utenti anche. Il gruppo ha anche ottimizzato le capacità del suo principale ladro di informazioni e ha adottato un nuovo formato di file per eludere il rilevamento. Nel corso degli ultimi due o tre mesi, Ducktail ha anche registrato diverse società fraudolente in Vietnam, apparentemente come copertura per ottenere certificati digitali per firmare il suo malware.
"Riteniamo che l'operazione Ducktail utilizzi l'accesso agli account aziendali dirottati esclusivamente per fare soldi diffondendo annunci fraudolenti", afferma Mohammad Kazem Hassan Nejad, ricercatore presso WithSecure Intelligence.
Nelle situazioni in cui l'autore della minaccia ottiene l'accesso al ruolo di redattore finanziario su un account aziendale di Facebook compromesso, ha anche la possibilità di modificare le informazioni sulla carta di credito aziendale e i dettagli finanziari, come transazioni, fatture, spesa dell'account e metodi di pagamento, afferma Nejad. . Ciò consentirebbe all'autore della minaccia di aggiungere altre attività alla carta di credito e alle fatture mensili e utilizzare i metodi di pagamento collegati per pubblicare annunci.
"L'attività dirottata potrebbe quindi essere utilizzata per scopi come pubblicità, frode o persino per diffondere disinformazione", afferma Nejad. "L'autore della minaccia potrebbe anche utilizzare il loro nuovo accesso per ricattare un'azienda bloccandola fuori dalla propria pagina".
Attacchi mirati
La tattica degli operatori di Ducktail è quella di identificare prima le organizzazioni che hanno un account Facebook Business o Ads e quindi prendere di mira le persone all'interno di quelle aziende che percepiscono come aventi accesso di alto livello all'account. Gli individui che il gruppo ha in genere preso di mira includono persone con ruoli manageriali o ruoli nel marketing digitale, nei media digitali e nelle risorse umane.
La catena di attacco inizia con l'autore della minaccia che invia all'individuo preso di mira un'esca di spear phishing tramite LinkedIn o WhatsApp. Gli utenti che si innamorano dell'esca finiscono per avere il ladro di informazioni di Ducktail installato sul proprio sistema. Il malware può svolgere molteplici funzioni, inclusa l'estrazione di tutti i cookie del browser memorizzati e dei cookie di sessione di Facebook dal computer della vittima, dati di registro specifici, token di sicurezza di Facebook e informazioni sull'account Facebook.
Il malware ruba una vasta gamma di informazioni su tutte le aziende associate all'account Facebook, inclusi nome, statistiche di verifica, limiti di spesa pubblicitaria, ruoli, link di invito, ID cliente, autorizzazioni dell'account pubblicitario, attività consentite e stato di accesso. Il malware raccoglie informazioni simili su qualsiasi account pubblicitario associato all'account Facebook compromesso.
Il ladro di informazioni può "rubare informazioni dall'account Facebook della vittima e dirottare qualsiasi account Facebook Business a cui la vittima ha accesso sufficiente aggiungendo indirizzi e-mail controllati dall'attaccante nell'account aziendale con privilegi di amministratore e ruoli di redattore finanziario", afferma Nejad. L'aggiunta di un indirizzo e-mail a un account Facebook Business richiede a Facebook di inviare un collegamento tramite e-mail a quell'indirizzo, che, in questo caso, è controllato dall'aggressore. L'autore della minaccia utilizza quel collegamento per ottenere l'accesso all'account, secondo WithSecure.
Gli attori delle minacce con accesso amministrativo all'account Facebook di una vittima possono causare molti danni, incluso assumere il pieno controllo dell'account aziendale; visualizzare e modificare impostazioni, persone e dettagli dell'account; e persino cancellando completamente il profilo dell'attività, afferma Nejad. Quando una vittima presa di mira potrebbe non avere un accesso sufficiente per consentire al malware di aggiungere gli indirizzi e-mail dell'autore della minaccia, l'attore della minaccia ha fatto affidamento sulle informazioni esfiltrate dai computer e dagli account Facebook delle vittime per impersonarle.
Creazione di malware più intelligente
Nejad afferma che le versioni precedenti del ladro di informazioni di Ducktail contenevano un elenco codificato di indirizzi e-mail da utilizzare per il dirottamento degli account aziendali.
"Tuttavia, con la recente campagna, abbiamo osservato che l'attore della minaccia ha rimosso questa funzionalità e si è affidato interamente al recupero degli indirizzi e-mail direttamente dal suo canale di comando e controllo (C2)", ospitato su Telegram, afferma il ricercatore. Al momento del lancio, il malware stabilisce una connessione al C2 e attende per un certo periodo di tempo prima di ricevere un elenco di indirizzi e-mail controllati dagli aggressori per procedere, aggiunge.
Il rapporto elenca diversi passaggi che l'organizzazione può intraprendere per mitigare l'esposizione a campagne di attacco simili a Ducktail, a cominciare dalla sensibilizzazione sulle truffe di spear-phishing rivolte agli utenti con accesso agli account aziendali di Facebook.
Le organizzazioni dovrebbero inoltre applicare la whitelisting delle applicazioni per impedire l'esecuzione di eseguibili sconosciuti, garantire che tutti i dispositivi gestiti o personali utilizzati con gli account Facebook aziendali dispongano di igiene e protezione di base e utilizzare la navigazione privata per autenticare ogni sessione di lavoro quando si accede agli account Facebook Business.
- blockchain
- portafogli di criptovaluta
- cryptoexchange
- sicurezza informatica
- i criminali informatici
- Cybersecurity
- Lettura oscura
- Dipartimento di Sicurezza Nazionale
- portafogli digitali
- firewall
- Kaspersky
- il malware
- Mcafee
- NextBLOC
- Platone
- platone ai
- Platone Data Intelligence
- Gioco di Platone
- PlatoneDati
- gioco di plato
- VPN
- sicurezza del sito Web
