שחקן איום בעל מוטיבציה כלכלית המכוון ליחידים וארגונים בפלטפורמת המודעות והעסקים של פייסבוק, חידש את פעילותו לאחר הפסקה קצרה, עם שק חדש של טריקים לחטיפת חשבונות ולהרוויח מהם.
קמפיין האיומים מבוסס וייטנאם, המכונה Ducktail, פעיל לפחות מאז מאי 2021 והשפיע על משתמשים עם חשבונות עסקיים בפייסבוק בארה"ב וביותר משלושה תריסר מדינות אחרות. חוקרי אבטחה מ- WithSecure (לשעבר F-Secure) שעוקבים אחר Ducktail העריכו כי המטרה העיקרית של שחקן האיום היא לדחוף מודעות במרמה באמצעות חשבונות עסקיים של פייסבוק אליהם הם מצליחים להשיג שליטה.
טקטיקות מתפתחות
WithSecure זיהה את הפעילות של Ducktail מוקדם יותר השנה וחשפה פרטים על הטקטיקות והטכניקות שלה בפוסט בבלוג של יולי. החשיפה אילץ את המפעילים של Ducktail להשעות את הפעילות לזמן קצר בזמן שהם המציאו שיטות חדשות להמשך הקמפיין שלהם.
בספטמבר, זנב ברווז עלה מחדש עם שינויים באופן פעולתו ובמנגנוני ההתחמקות מגילוי. רחוק מלהאט את הקצב, נראה שהקבוצה הרחיבה את פעילותה, והכניסה מספר קבוצות שותפים לקמפיין שלה, אמר WithSecure בדו"ח ב-22 בנובמבר.
בנוסף לשימוש בלינקדאין כדרך למטרות דיוג חנית, כפי שעשתה ב מסעות פרסום קודמים, קבוצת Ducktail החלה כעת להשתמש WhatsApp למיקוד משתמשים גם כן. הקבוצה גם שינתה את היכולות של גנב המידע העיקרי שלה ואימצה עבורו פורמט קובץ חדש כדי להתחמק מזיהוי. במהלך החודשיים-שלושה האחרונים, Ducktail גם רשמה מספר חברות הונאה בוייטנאם, ככל הנראה ככיסוי להשגת אישורים דיגיטליים לחתימה על תוכנות זדוניות.
"אנו מאמינים שמבצע Ducktail משתמש בגישה לחשבון עסקי שנחטף אך ורק כדי להרוויח כסף על ידי דחיית מודעות הונאה", אומר מוחמד קאזם חסן נג'אד, חוקר ב-WithSecure Intelligence.
במצבים שבהם שחקן האיום מקבל גישה לתפקיד עורך הכספים בחשבון עסקי בפייסבוק שנפגע, יש לו גם את היכולת לשנות פרטי כרטיסי אשראי עסקיים ופרטים פיננסיים, כגון עסקאות, חשבוניות, הוצאות חשבון ושיטות תשלום, אומר נג'אד. . זה יאפשר לשחקן האיום להוסיף עסקים אחרים לכרטיס האשראי ולחשבוניות החודשיות, ולהשתמש באמצעי התשלום המקושרים כדי להפעיל מודעות.
"לכן, העסק החטוף יכול לשמש למטרות כמו פרסום, הונאה, או אפילו להפצת דיסאינפורמציה", אומר נג'אד. "שחקן האיום יכול גם להשתמש בגישה החדשה שלו כדי לסחוט חברה על ידי נעילתה מחוץ לדף שלהם."
התקפות ממוקדות
הטקטיקה של המפעילים של Ducktail היא תחילה לזהות ארגונים שיש להם חשבון פייסבוק עסקי או פרסומות ולאחר מכן למקד לאנשים בתוך אותן חברות שלדעתם יש גישה ברמה גבוהה לחשבון. אנשים שהקבוצה מכוונת אליהם בדרך כלל כוללים אנשים בעלי תפקידים ניהוליים או תפקידים בשיווק דיגיטלי, מדיה דיגיטלית ומשאבי אנוש.
שרשרת התקיפה מתחילה בכך ששחקן האיום שולח לאדם הממוקד פיתוי דיוג בחנית באמצעות לינקדאין או וואטסאפ. משתמשים שנפלים בפיתוי בסופו של דבר מותקן במערכת שלהם את גנב המידע של Ducktail. התוכנה הזדונית יכולה לבצע פונקציות מרובות, כולל חילוץ כל קובצי ה-Cookie של הדפדפן המאוחסנים וקובצי ה-cookie של הפעלה של פייסבוק ממחשב הקורבן, נתוני רישום ספציפיים, אסימוני אבטחה של פייסבוק ופרטי חשבון פייסבוק.
התוכנה הזדונית גונבת מגוון רחב של מידע על כל העסקים הקשורים לחשבון פייסבוק, כולל שם, סטטיסטיקות אימות, מגבלות הוצאות פרסום, תפקידים, קישור הזמנה, מזהה לקוח, הרשאות לחשבון מודעה, משימות מותרות וסטטוס גישה. התוכנה הזדונית אוספת מידע דומה בכל חשבונות המודעות המשויכים לחשבון הפייסבוק שנפרץ.
גונב המידע יכול "לגנוב מידע מחשבון הפייסבוק של הקורבן ולחטוף כל חשבון Facebook Business שאליו יש לקורבן גישה מספקת על ידי הוספת כתובות דוא"ל בשליטת תוקף לחשבון העסקי עם הרשאות מנהל ותפקידי עורך כספים", אומר נג'אד. הוספת כתובת דוא"ל לחשבון פייסבוק עסקי מבקשת מפייסבוק לשלוח קישור באמצעות דואר אלקטרוני לכתובת זו - שבמקרה זה נשלטת על ידי התוקף. שחקן האיום משתמש בקישור הזה כדי לקבל גישה לחשבון, לפי WithSecure.
שחקני איומים בעלי גישת מנהל לחשבון הפייסבוק של הקורבן עלולים לגרום נזק רב, כולל השתלטות מלאה על החשבון העסקי; צפייה ושינוי של הגדרות, אנשים ופרטי חשבון; ואפילו מחיקת הפרופיל העסקי על הסף, אומר נג'אד. כאשר ייתכן שלקורבן ממוקד אין גישה מספקת כדי לאפשר לתוכנה זדונית להוסיף את כתובות האימייל של שחקן האיום, השחקן הסתמך על המידע שחלף מהמכונות של הקורבנות ומחשבונות הפייסבוק כדי להתחזות להם.
בניית תוכנות זדוניות חכמה יותר
Nejad אומר שגרסאות קודמות של גנב המידע של Ducktail הכילו רשימה מקודדת של כתובות דוא"ל לשימוש לחטיפת חשבונות עסקיים.
"עם זאת, עם הקמפיין האחרון, צפינו בשחקן האיום מסיר את הפונקציונליות הזו ומסתמך לחלוטין על שליפת כתובות דוא"ל ישירות מערוץ הפיקוד והשליטה שלו (C2)", מתארח בטלגרם, אומר החוקר. עם ההשקה, התוכנה הזדונית מייצרת חיבור ל-C2 ומחכה למשך זמן כדי לקבל רשימה של כתובות דוא"ל הנשלטות על ידי תוקף כדי להמשיך, הוא מוסיף.
הדו"ח מפרט כמה צעדים שהארגון יכול לנקוט כדי להפחית את החשיפה לקמפיינים של תקיפה דמויי זנב ברווז, החל מהעלאת המודעות להונאות דיוג חנית המכוונות למשתמשים עם גישה לחשבונות עסקיים בפייסבוק.
ארגונים צריכים גם לאכוף רשימת היתרים של יישומים כדי למנוע הפעלת קובצי הפעלה לא ידועים, להבטיח שכל המכשירים המנוהלים או האישיים המשמשים עם חשבונות פייסבוק של החברה כוללים היגיינה והגנה בסיסית, ולהשתמש בגלישה פרטית כדי לאמת כל הפעלת עבודה בעת גישה לחשבונות Facebook Business.
