En økonomisk motivert trusselaktør rettet mot enkeltpersoner og organisasjoner på Facebooks Ads and Business-plattform har gjenopptatt driften etter en kort pause, med en ny pose med triks for å kapre kontoer og tjene på dem.
Den Vietnam-baserte trusselkampanjen, kalt Ducktail, har vært aktiv siden minst mai 2021 og har påvirket brukere med Facebook-bedriftskontoer i USA og mer enn tre dusin andre land. Sikkerhetsforskere fra WithSecure (tidligere F-Secure) som sporer Ducktail har vurdert at trusselaktørens primære mål er å presse ut annonser på uredelig vis via Facebook-bedriftskontoer som de klarer å få kontroll over.
Utviklende taktikk
WithSecure oppdaget Ducktails aktivitet tidligere i år og avslørte detaljer om taktikken og teknikkene i et blogginnlegg i juli. Avsløringen tvang Ducktails operatører til å stanse operasjoner en kort stund mens de utviklet nye metoder for å fortsette med kampanjen.
I september, Andehale dukket opp igjen med endringer i måten den fungerer på og i dens mekanismer for å unngå oppdagelse. Langt fra å bremse ned, ser det ut til at gruppen har utvidet sin virksomhet, og har tatt med flere tilknyttede grupper til kampanjen sin, sa WithSecure i en rapport 22. november.
I tillegg til å bruke LinkedIn som en avenue for spear-phishing-mål, som det gjorde i tidligere kampanjer, Ducktail-gruppen har nå begynt å bruke WhatsApp for målretting mot brukere også. Gruppen har også finjustert egenskapene til sin primære informasjonstyver og har tatt i bruk et nytt filformat for det for å unngå oppdagelse. I løpet av de siste to eller tre månedene har Ducktail også registrert flere uredelige selskaper i Vietnam, tilsynelatende som et deksel for å få digitale sertifikater for å signere skadelig programvare.
"Vi tror at Ducktail-operasjonen bruker kapret forretningskontotilgang utelukkende for å tjene penger ved å presse ut falske annonser," sier Mohammad Kazem Hassan Nejad, en forsker ved WithSecure Intelligence.
I situasjoner der trusselaktøren får tilgang til finansredaktørrollen på en kompromittert Facebook-bedriftskonto, har de også muligheten til å endre bedriftens kredittkortinformasjon og økonomiske detaljer, for eksempel transaksjoner, fakturaer, kontoutgifter og betalingsmåter, sier Nejad. . Dette vil tillate trusselaktøren å legge til andre virksomheter på kredittkortet og månedlige fakturaer, og bruke de tilknyttede betalingsmetodene for å kjøre annonser.
"Den kaprede virksomheten kan derfor brukes til formål som reklame, svindel eller til og med for å spre desinformasjon," sier Nejad. "Trusselsaktøren kan også bruke sin nyoppdagede tilgang til å utpresse et selskap ved å stenge dem ute fra deres egen side."
Målrettede angrep
Taktikken til Ducktails operatører er å først identifisere organisasjoner som har en Facebook Business- eller Ads-konto og deretter målrette mot enkeltpersoner innenfor de selskapene som de oppfatter som har tilgang på høyt nivå til kontoen. Personer gruppen vanligvis har rettet mot inkluderer personer med lederroller eller roller innen digital markedsføring, digitale medier og menneskelige ressurser.
Angrepskjeden starter med at trusselaktøren sender den målrettede personen et spyd-phishing-lokk via LinkedIn eller WhatsApp. Brukere som faller for lokket ender opp med å ha Ducktails informasjonstyver installert på systemet sitt. Skadevaren kan utføre flere funksjoner, inkludert å trekke ut alle lagrede nettleserinformasjonskapsler og Facebook-sesjonskapsler fra offermaskinen, spesifikke registerdata, Facebook-sikkerhetstokener og Facebook-kontoinformasjon.
Skadevaren stjeler et bredt spekter av informasjon om alle virksomheter knyttet til Facebook-kontoen, inkludert navn, bekreftelsesstatistikk, grenser for annonseforbruk, roller, invitasjonskobling, klient-ID, annonsekontotillatelser, tillatte oppgaver og tilgangsstatus. Skadevaren samler inn lignende informasjon om alle annonsekontoer knyttet til den kompromitterte Facebook-kontoen.
Informasjonstyveren kan "stjele informasjon fra offerets Facebook-konto og kapre enhver Facebook Business-konto som offeret har tilstrekkelig tilgang til ved å legge til angriperkontrollerte e-postadresser i forretningskontoen med administratorrettigheter og finansredaktørroller," sier Nejad. Å legge til en e-postadresse til en Facebook Business-konto ber Facebook om å sende en lenke via e-post til den adressen – som i dette tilfellet kontrolleres av angriperen. Trusselaktøren bruker den lenken for å få tilgang til kontoen, ifølge WithSecure.
Trusselaktører med administratortilgang til et offers Facebook-konto kan gjøre mye skade, inkludert å ta full kontroll over bedriftskontoen; vise og endre innstillinger, personer og kontodetaljer; og til og med slette bedriftsprofilen direkte, sier Nejad. Når et målrettet offer kanskje ikke har tilstrekkelig tilgang til å tillate skadelig programvare å legge til trusselaktørens e-postadresser, har trusselen basert seg på informasjonen som ble eksfiltrert fra ofrenes maskiner og Facebook-kontoer for å etterligne dem.
Bygg smartere skadelig programvare
Nejad sier at tidligere versjoner av Ducktails informasjonstyver inneholdt en hardkodet liste over e-postadresser som skulle brukes til å kapre bedriftskontoer.
"Men med den nylige kampanjen observerte vi trusselaktøren fjerne denne funksjonaliteten og stole helt på å hente e-postadresser direkte fra sin kommando-og-kontroll-kanal (C2)," arrangert på Telegram, sier forskeren. Ved lansering etablerer skadevaren en forbindelse til C2 og venter i en periode på å motta en liste over angriperkontrollerte e-postadresser for å fortsette, legger han til.
Rapporten lister opp flere trinn som organisasjonen kan ta for å redusere eksponeringen for Ducktail-lignende angrepskampanjer, og begynner med å øke bevisstheten om spyd-phishing-svindel rettet mot brukere med tilgang til Facebook-bedriftskontoer.
Organisasjoner bør også håndheve hvitlisting av applikasjoner for å hindre ukjente kjørbare filer fra å kjøre, sikre at alle administrerte eller personlige enheter som brukes med bedriftens Facebook-kontoer har grunnleggende hygiene og beskyttelse på plass, og bruke privat nettlesing for å autentisere hver arbeidsøkt når de får tilgang til Facebook Business-kontoer.
