Facebook の広告およびビジネス プラットフォームで個人や組織を標的とする金銭目的の攻撃者が、アカウントを乗っ取って利益を得るための新たな手口を使って、短い休止期間を経て活動を再開しました。
Ducktail と呼ばれるベトナムを拠点とする脅威キャンペーンは、少なくとも 2021 年 XNUMX 月から活動しており、米国および他の XNUMX 以上の国で Facebook のビジネス アカウントを持つユーザーに影響を与えています。 Ducktail を追跡している WithSecure (旧 F-Secure) のセキュリティ研究者は、攻撃者の主な目的は、Facebook のビジネス アカウントを介して不正に広告を送信し、制御を取得することであると評価しています。
進化する戦術
WithSecure は今年初めに Ducktail の活動を発見し、XNUMX 月のブログ投稿でその戦術とテクニックの詳細を明らかにしました。 開示 Ducktail のオペレーターは、キャンペーンを継続するための新しい方法を考案している間、一時的に運用を停止することを余儀なくされました。
9月中、 ダックテールが再浮上 動作方法と検出を回避するためのメカニズムが変更されています。 WithSecure は 22 月 XNUMX 日のレポートで、減速するどころか、活動を拡大し、複数のアフィリエイト グループをキャンペーンに参加させているようだと述べた。
LinkedIn をスピア フィッシングのターゲットの手段として使用することに加えて、 以前のキャンペーン、Ducktailグループは現在使用を開始しています ユーザーをターゲットにするためのWhatsApp 同じように。 このグループはまた、主要な情報スティーラーの機能を微調整し、検出を回避するために新しいファイル形式を採用しました。 過去 XNUMX ~ XNUMX か月の間に、Ducktail はベトナムで複数の詐欺会社を登録しました。これは明らかに、マルウェアに署名するためのデジタル証明書を取得するための隠れ蓑でした。
WithSecure Intelligence の研究者である Mohammad Kazem Hassan Nejad は次のように述べています。
脅威アクターが侵害された Facebook のビジネス アカウントで財務編集者の役割にアクセスできる状況では、ビジネスのクレジット カード情報や、トランザクション、請求書、アカウントの支出、支払い方法などの財務の詳細を変更することもできます、と Nejad 氏は言います。 . これにより、攻撃者はクレジット カードと毎月の請求書に他のビジネスを追加し、リンクされた支払い方法を使用して広告を掲載できるようになります。
「したがって、ハイジャックされたビジネスは、広告、詐欺、さらには偽情報の拡散などの目的で使用される可能性があります」と Nejad 氏は言います。 「脅威アクターは、新たに発見したアクセス権を使用して、企業を自分のページから締め出し、脅迫することもできます。」
標的型攻撃
Ducktail の運用者の戦術は、まず Facebook のビジネス アカウントまたは広告アカウントを持つ組織を特定し、次に、アカウントへの高度なアクセス権を持っていると見なされる企業内の個人をターゲットにすることです。 このグループが通常ターゲットとしている個人には、管理職またはデジタル マーケティング、デジタル メディア、および人事の役割を持つ人々が含まれます。
攻撃チェーンは、攻撃者が標的の個人にスピア フィッシングのルアーを LinkedIn または WhatsApp 経由で送信することから始まります。 このルアーに引っかかったユーザーは、システムに Ducktail の情報スティーラーをインストールすることになります。 このマルウェアは、保存されているすべてのブラウザ Cookie と Facebook セッション Cookie を被害者のマシンから抽出する、特定のレジストリ データ、Facebook セキュリティ トークン、Facebook アカウント情報など、複数の機能を実行できます。
このマルウェアは、Facebook アカウントに関連付けられたすべてのビジネスに関する幅広い情報を盗みます。これには、名前、検証統計、広告費の制限、役割、招待リンク、クライアント ID、広告アカウントのアクセス許可、許可されたタスク、アクセス ステータスが含まれます。 マルウェアは、侵害された Facebook アカウントに関連付けられたすべての広告アカウントについて同様の情報を収集します。
情報窃盗犯は、「被害者の Facebook アカウントから情報を盗み、攻撃者が制御する電子メール アドレスを管理者権限と財務編集者の役割を持つビジネス アカウントに追加することで、被害者が十分なアクセス権を持つ Facebook ビジネス アカウントを乗っ取ることができます」と Nejad 氏は言います。 Facebook のビジネス アカウントに電子メール アドレスを追加すると、Facebook はそのアドレスに電子メールでリンクを送信するように求められます。この場合、このアドレスは攻撃者によって制御されます。 WithSecure によると、攻撃者はそのリンクを使用してアカウントにアクセスします。
被害者の Facebook アカウントへの管理者アクセス権を持つ攻撃者は、ビジネス アカウントを完全に制御するなど、多くの損害を与える可能性があります。 設定、ユーザー、およびアカウントの詳細の表示と変更。 ビジネス プロファイルを完全に削除することさえあります、と Nejad 氏は言います。 標的となった被害者が、マルウェアが攻撃者の電子メール アドレスを追加するための十分なアクセス権を持っていない可能性がある場合、攻撃者は被害者のマシンと Facebook アカウントから盗み出した情報を利用してなりすましを行いました。
よりスマートなマルウェアの構築
Nejad 氏によると、Ducktail の情報スティーラーの以前のバージョンには、ビジネス アカウントの乗っ取りに使用する電子メール アドレスのリストがハードコーディングされていました。
「しかし、最近のキャンペーンでは、攻撃者がこの機能を削除し、コマンド アンド コントロール チャネル (C2) から直接電子メール アドレスを取得することに完全に依存していることが確認されました」と、Telegram でホストされている研究者は述べています。 起動すると、マルウェアは C2 への接続を確立し、続行するために、攻撃者が制御する電子メール アドレスのリストを受信するまでしばらく待機します、と彼は付け加えます。
このレポートには、Facebook のビジネス アカウントにアクセスできるユーザーを標的としたスピア フィッシング詐欺の認識を高めることから始めて、組織が Ducktail のような攻撃キャンペーンへの露出を軽減するために実行できるいくつかの手順がリストされています。
組織はまた、未知の実行可能ファイルが実行されるのを防ぐために、アプリケーションのホワイトリスト化を強制し、会社の Facebook アカウントで使用されるすべての管理対象デバイスまたは個人用デバイスに基本的な衛生と保護が備わっていることを確認し、プライベート ブラウジングを使用して、Facebook ビジネス アカウントにアクセスするときに各作業セッションを認証する必要があります。
