Een financieel gemotiveerde aanvaller die zich op individuen en organisaties op het Ads and Business-platform van Facebook richt, heeft na een korte onderbreking zijn activiteiten hervat, met een nieuwe trukendoos om accounts te kapen en hiervan te profiteren.
De in Vietnam gevestigde dreigingscampagne, genaamd Ducktail, is actief sinds ten minste mei 2021 en heeft gebruikers met zakelijke Facebook-accounts in de Verenigde Staten en meer dan drie dozijn andere landen getroffen. Beveiligingsonderzoekers van WithSecure (voorheen F-Secure) die Ducktail volgen, hebben vastgesteld dat het primaire doel van de aanvaller is om op frauduleuze wijze advertenties te verspreiden via zakelijke Facebook-accounts waarop ze controle weten te krijgen.
Evoluerende tactieken
WithSecure zag Ducktail's activiteit eerder dit jaar en onthulde details van zijn tactieken en technieken in een blogpost van juli. De openbaarmaking dwong de operators van Ducktail om de operaties kort op te schorten terwijl ze nieuwe methoden bedachten om door te gaan met hun campagne.
In september, Ducktail dook weer op met veranderingen in de manier waarop het werkt en in zijn mechanismen om detectie te omzeilen. In plaats van te vertragen, lijkt de groep zijn activiteiten te hebben uitgebreid door meerdere gelieerde groepen aan boord te hebben voor zijn campagne, zei WithSecure in een rapport op 22 november.
Naast het gebruik van LinkedIn als een manier voor spear-phishing-doelen, zoals het deed in eerdere campagnes, is de Ducktail-groep nu gaan gebruiken WhatsApp voor het targeten van gebruikers ook. De groep heeft ook de mogelijkheden van zijn primaire informatiedief aangepast en heeft er een nieuw bestandsformaat voor aangenomen om detectie te omzeilen. In de loop van de afgelopen twee of drie maanden heeft Ducktail ook meerdere frauduleuze bedrijven in Vietnam geregistreerd, blijkbaar als dekmantel voor het verkrijgen van digitale certificaten voor het ondertekenen van zijn malware.
"We geloven dat de Ducktail-operatie de toegang tot gekaapte zakelijke accounts puur gebruikt om geld te verdienen door frauduleuze advertenties te verspreiden", zegt Mohammad Kazem Hassan Nejad, een onderzoeker bij WithSecure Intelligence.
In situaties waarin de aanvaller toegang krijgt tot de rol van financieel redacteur op een gecompromitteerd zakelijk Facebook-account, hebben ze ook de mogelijkheid om zakelijke creditcardgegevens en financiรซle details, zoals transacties, facturen, accountuitgaven en betalingsmethoden, te wijzigen, zegt Nejad. . Hierdoor zou de aanvaller andere bedrijven aan de creditcard en maandelijkse facturen kunnen toevoegen en de gekoppelde betaalmethoden kunnen gebruiken om advertenties weer te geven.
"Het gekaapte bedrijf zou daarom kunnen worden gebruikt voor doeleinden zoals reclame, fraude of zelfs om desinformatie te verspreiden", zegt Nejad. "De dreigingsactor kan hun nieuwe toegang ook gebruiken om een โโbedrijf te chanteren door ze de toegang tot hun eigen pagina te ontzeggen."
Gerichte aanvallen
De tactiek van de operators van Ducktail is om eerst organisaties te identificeren die een Facebook Business- of Ads-account hebben en zich vervolgens te richten op individuen binnen die bedrijven waarvan zij denken dat ze op hoog niveau toegang hebben tot het account. Individuen waarop de groep zich doorgaans richt, zijn onder meer mensen met leidinggevende functies of rollen in digitale marketing, digitale media en human resources.
De aanvalsketen begint wanneer de dreigingsactor de beoogde persoon via LinkedIn of WhatsApp een speer-phishing lokaas stuurt. Gebruikers die voor het kunstaas vallen, hebben uiteindelijk Ducktail's informatiesteler op hun systeem geรฏnstalleerd. De malware kan meerdere functies uitvoeren, waaronder het extraheren van alle opgeslagen browsercookies en Facebook-sessiecookies van de machine van het slachtoffer, specifieke registergegevens, Facebook-beveiligingstokens en Facebook-accountinformatie.
De malware steelt een breed scala aan informatie over alle bedrijven die aan het Facebook-account zijn gekoppeld, waaronder naam, verificatiestatistieken, limieten voor advertentie-uitgaven, rollen, uitnodigingslink, client-ID, machtigingen voor advertentieaccounts, toegestane taken en toegangsstatus. De malware verzamelt vergelijkbare informatie over alle advertentieaccounts die zijn gekoppeld aan het gecompromitteerde Facebook-account.
De informatiedief kan "informatie stelen van het Facebook-account van het slachtoffer en elk Facebook Business-account kapen waartoe het slachtoffer voldoende toegang heeft door door de aanvaller gecontroleerde e-mailadressen toe te voegen aan het zakelijke account met beheerdersrechten en rollen als financieel redacteur", zegt Nejad. Door een e-mailadres aan een Facebook Business-account toe te voegen, wordt Facebook gevraagd een link via e-mail naar dat adres te sturen, dat in dit geval wordt beheerd door de aanvaller. Volgens WithSecure gebruikt de bedreigingsactor die link om toegang te krijgen tot het account.
Bedreigers met beheerderstoegang tot het Facebook-account van een slachtoffer kunnen veel schade aanrichten, waaronder volledige controle over het zakelijke account; instellingen, personen en accountgegevens bekijken en wijzigen; en zelfs het bedrijfsprofiel volledig verwijderen, zegt Nejad. Wanneer een gericht slachtoffer mogelijk niet voldoende toegang heeft om de malware toe te staan โโde e-mailadressen van de dreigingsacteur toe te voegen, vertrouwde de dreigingsacteur op de informatie die was geรซxfiltreerd van de machines en Facebook-accounts van de slachtoffers om zich voor hen uit te geven.
Slimmere malware bouwen
Nejad zegt dat eerdere versies van Ducktail's informatie-dief een hardgecodeerde lijst met e-mailadressen bevatten om te gebruiken voor het kapen van zakelijke accounts.
"Tijdens de recente campagne zagen we echter dat de bedreigingsactor deze functionaliteit verwijderde en volledig vertrouwde op het rechtstreeks ophalen van e-mailadressen van zijn command-and-control-kanaal (C2)", zegt de onderzoeker. Bij de lancering brengt de malware een verbinding tot stand met de C2 en wacht een bepaalde tijd op een lijst met door de aanvaller gecontroleerde e-mailadressen om verder te gaan, voegt hij eraan toe.
Het rapport somt verschillende stappen op die organisaties kunnen nemen om de blootstelling aan Ducktail-achtige aanvalscampagnes te verminderen, te beginnen met het vergroten van het bewustzijn van spear-phishing-zwendel die gericht is op gebruikers met toegang tot zakelijke Facebook-accounts.
Organisaties moeten ook de whitelisting van applicaties afdwingen om te voorkomen dat onbekende uitvoerbare bestanden worden uitgevoerd, ervoor zorgen dat alle beheerde of persoonlijke apparaten die worden gebruikt met Facebook-bedrijfsaccounts beschikken over basishygiรซne en bescherming, en privรฉ browsen gebruiken om elke werksessie te verifiรซren bij toegang tot Facebook Business-accounts.
