Zmotywowany finansowo cyberprzestępca atakujący osoby i organizacje na platformie Ads and Business na Facebooku wznowił działalność po krótkiej przerwie, oferując nowy zestaw sztuczek umożliwiających przejmowanie kont i czerpanie z nich korzyści.
Kampania zagrożeń z Wietnamu, nazwana Ducktail, jest aktywna od co najmniej maja 2021 r. i dotyczy użytkowników posiadających konta firmowe na Facebooku w Stanach Zjednoczonych i ponad trzydziestu innych krajach. Badacze bezpieczeństwa z WithSecure (dawniej F-Secure), którzy śledzą Ducktail, ocenili, że głównym celem ugrupowania cyberprzestępczego jest oszukańcze rozpowszechnianie reklam za pośrednictwem kont firmowych na Facebooku, nad którymi udało im się przejąć kontrolę.
Ewolucja taktyki
Firma WithSecure zauważyła aktywność Ducktail na początku tego roku i ujawniła szczegóły jej taktyk i technik w lipcowym poście na blogu. Ujawnienie zmusił operatorów Ducktail do zawieszenia operacji na krótko, podczas gdy oni opracowywali nowe metody kontynuowania kampanii.
We wrześniu, Kaczy ogon pojawił się ponownie ze zmianami w sposobie jego działania i jego mechanizmach unikania wykrycia. Daleko od spowolnienia, wydaje się, że grupa rozszerzyła swoją działalność, włączając wiele grup stowarzyszonych do swojej kampanii, powiedział WithSecure w raporcie z 22 listopada.
Oprócz wykorzystywania LinkedIn jako drogi dla celów phishingu spear, jak to miało miejsce w poprzednie kampanie, grupa Ducktail zaczęła teraz używać WhatsApp do targetowania użytkowników również. Grupa zmodyfikowała również możliwości swojego głównego narzędzia do kradzieży informacji i przyjęła dla niego nowy format plików, aby uniknąć wykrycia. W ciągu ostatnich dwóch lub trzech miesięcy Ducktail zarejestrował również wiele oszukańczych firm w Wietnamie, najwyraźniej jako przykrywka do uzyskania cyfrowych certyfikatów do podpisywania swojego szkodliwego oprogramowania.
„Uważamy, że operacja Ducktail wykorzystuje przejęty dostęp do konta biznesowego wyłącznie w celu zarabiania pieniędzy poprzez wyświetlanie oszukańczych reklam” — mówi Mohammad Kazem Hassan Nejad, badacz w WithSecure Intelligence.
Nejad mówi, że w sytuacjach, gdy cyberprzestępca uzyskuje dostęp do roli redaktora finansowego na przejętym koncie firmowym na Facebooku, ma również możliwość modyfikowania danych firmowej karty kredytowej i szczegółów finansowych, takich jak transakcje, faktury, wydatki na koncie i metody płatności. . Umożliwiłoby to cyberprzestępcy dodawanie innych firm do karty kredytowej i miesięcznych faktur oraz wykorzystywanie połączonych metod płatności do wyświetlania reklam.
„Przejęta firma może zatem zostać wykorzystana do celów takich jak reklama, oszustwo, a nawet szerzenie dezinformacji” – mówi Nejad. „Aktor zagrożeń może również wykorzystać swój nowo uzyskany dostęp do szantażu firmy, blokując jej dostęp do własnej strony”.
Ukierunkowane ataki
Taktyka operatorów Ducktail polega na tym, aby najpierw zidentyfikować organizacje, które mają konto firmowe lub reklamowe na Facebooku, a następnie kierować reklamy do osób w tych firmach, które postrzegają jako posiadające wysoki poziom dostępu do konta. Osoby, do których zazwyczaj kierowała się grupa, to osoby pełniące role kierownicze lub role w marketingu cyfrowym, mediach cyfrowych i zasobach ludzkich.
Łańcuch ataków rozpoczyna się od tego, że cyberprzestępca wysyła zaatakowanej osobie przynętę typu spear-phishing za pośrednictwem LinkedIn lub WhatsApp. Użytkownicy, którzy dali się nabrać na przynętę, instalują w swoim systemie narzędzie do kradzieży informacji Ducktail. Złośliwe oprogramowanie może wykonywać wiele funkcji, w tym wyodrębniać wszystkie przechowywane pliki cookie przeglądarki i sesyjne pliki cookie Facebooka z maszyny ofiary, określone dane rejestru, tokeny bezpieczeństwa Facebooka i informacje o koncie Facebooka.
Złośliwe oprogramowanie kradnie szeroki zakres informacji o wszystkich firmach powiązanych z kontem na Facebooku, w tym nazwę, statystyki weryfikacji, limity wydatków na reklamę, role, link z zaproszeniem, identyfikator klienta, uprawnienia konta reklamowego, dozwolone zadania i stan dostępu. Złośliwe oprogramowanie gromadzi podobne informacje na kontach reklamowych powiązanych z przejętym kontem na Facebooku.
Złodziej informacji może „ukraść informacje z konta ofiary na Facebooku i przejąć kontrolę nad każdym kontem biznesowym na Facebooku, do którego ofiara ma wystarczający dostęp, dodając kontrolowane przez atakującego adresy e-mail do konta biznesowego z uprawnieniami administratora i rolami redaktora finansowego” — mówi Nejad. Dodanie adresu e-mail do konta firmowego na Facebooku powoduje, że Facebook wysyła łącze pocztą elektroniczną na ten adres — który w tym przypadku jest kontrolowany przez atakującego. Według WithSecure cyberprzestępca używa tego łącza, aby uzyskać dostęp do konta.
Aktorzy stwarzający zagrożenie z dostępem administratora do konta ofiary na Facebooku mogą wyrządzić wiele szkód, w tym przejąć pełną kontrolę nad kontem firmowym; przeglądanie i modyfikowanie ustawień, osób i szczegółów konta; a nawet całkowite usunięcie profilu biznesowego, mówi Nejad. Kiedy ofiara będąca celem ataku może nie mieć wystarczającego dostępu, aby umożliwić złośliwemu oprogramowaniu dodanie adresów e-mail atakującego, atakujący polegał na informacjach wydobytych z komputerów ofiar i kont na Facebooku, aby się pod nich podszyć.
Tworzenie inteligentniejszego złośliwego oprogramowania
Nejad twierdzi, że poprzednie wersje narzędzia Ducktail do kradzieży informacji zawierały zakodowaną na stałe listę adresów e-mail, których można używać do przejmowania kont firmowych.
„Jednakże w ramach ostatniej kampanii zaobserwowaliśmy, że cyberprzestępca usuwa tę funkcjonalność i całkowicie polega na pobieraniu adresów e-mail bezpośrednio ze swojego kanału dowodzenia i kontroli (C2)” — mówi badacz. Dodaje, że po uruchomieniu złośliwe oprogramowanie nawiązuje połączenie z C2 i czeka przez pewien czas, aby otrzymać listę adresów e-mail kontrolowanych przez atakującego, aby kontynuować.
W raporcie wymieniono kilka kroków, które organizacja może podjąć, aby ograniczyć narażenie na kampanie ataków typu Ducktail, poczynając od podnoszenia świadomości na temat oszustw typu spear phishing wymierzonych w użytkowników z dostępem do kont firmowych na Facebooku.
Organizacje powinny również egzekwować umieszczanie aplikacji na białej liście, aby uniemożliwić uruchamianie nieznanych plików wykonywalnych, upewnić się, że wszystkie zarządzane lub osobiste urządzenia używane z firmowymi kontami na Facebooku mają zapewnioną podstawową higienę i ochronę oraz korzystać z przeglądania prywatnego w celu uwierzytelnienia każdej sesji roboczej podczas uzyskiwania dostępu do kont Facebook Business.
- blockchain
- portfele kryptowalutowe
- krypto-wymiana
- bezpieczeństwo cybernetyczne
- cyberprzestępcy
- Bezpieczeństwo cybernetyczne
- Mroczne czytanie
- Departament Bezpieczeństwa Wewnętrznego
- cyfrowe portfele
- zapora
- Kaspersky
- malware
- Mcafee
- NexBLOC
- plato
- Platon Ai
- Analiza danych Platona
- Gra Platona
- PlatoDane
- platogaming
- VPN
- zabezpieczenia stron internetowych
