Um ator de ameaça financeiramente motivado visando indivíduos e organizações na plataforma de anúncios e negócios do Facebook retomou as operações após um breve hiato, com um novo pacote de truques para seqüestrar contas e lucrar com elas.
A campanha de ameaças baseada no Vietnã, apelidada de Ducktail, está ativa desde pelo menos maio de 2021 e afetou usuários com contas comerciais do Facebook nos Estados Unidos e em mais de três dúzias de outros países. Pesquisadores de segurança da WithSecure (anteriormente F-Secure) que estão rastreando o Ducktail avaliaram que o principal objetivo do agente da ameaça é enviar anúncios de forma fraudulenta por meio de contas comerciais do Facebook nas quais eles conseguem obter controle.
Evoluindo Táticas
WithSecure detectou a atividade de Ducktail no início deste ano e divulgou detalhes de suas táticas e técnicas em um post de julho. a revelação forçou os operadores de Ducktail a suspender as operações brevemente enquanto desenvolviam novos métodos para continuar com sua campanha.
Em setembro, Rabo de pato ressurgiu com mudanças em sua forma de operar e em seus mecanismos para evitar a detecção. Longe de desacelerar, o grupo parece ter expandido suas operações, integrando vários grupos afiliados à sua campanha, disse WithSecure em um relatório de 22 de novembro.
Além de usar o LinkedIn como um canal para alvos de spear phishing, como fez em campanhas anteriores, o grupo Ducktail já começou a usar WhatsApp para direcionar usuários também. O grupo também aprimorou os recursos de seu principal ladrão de informações e adotou um novo formato de arquivo para evitar a detecção. Ao longo dos últimos dois ou três meses, o Ducktail também registrou várias empresas fraudulentas no Vietnã, aparentemente como uma cobertura para obter certificados digitais para assinar seu malware.
“Acreditamos que a operação Ducktail usa o acesso sequestrado à conta comercial apenas para ganhar dinheiro, exibindo anúncios fraudulentos”, diz Mohammad Kazem Hassan Nejad, pesquisador da WithSecure Intelligence.
Em situações em que o agente da ameaça obtém acesso à função de editor financeiro em uma conta comercial comprometida do Facebook, ele também pode modificar informações de cartão de crédito comercial e detalhes financeiros, como transações, faturas, gastos em contas e métodos de pagamento, diz Nejad . Isso permitiria que o agente da ameaça adicionasse outras empresas ao cartão de crédito e às faturas mensais e usasse os métodos de pagamento vinculados para exibir anúncios.
“O negócio sequestrado pode, portanto, ser usado para fins de publicidade, fraude ou até mesmo para espalhar desinformação”, diz Nejad. “O agente da ameaça também pode usar seu novo acesso para chantagear uma empresa, bloqueando-a de sua própria página.”
Ataques direcionados
A tática dos operadores da Ducktail é primeiro identificar as organizações que possuem uma conta comercial ou de anúncios no Facebook e, em seguida, atingir os indivíduos dessas empresas que eles percebem como tendo acesso de alto nível à conta. Os indivíduos que o grupo normalmente visa incluem pessoas com funções gerenciais ou funções em marketing digital, mídia digital e recursos humanos.
A cadeia de ataque começa com o agente da ameaça enviando ao indivíduo alvo uma isca de spear phishing via LinkedIn ou WhatsApp. Os usuários que caem na tentação acabam tendo o ladrão de informações do Ducktail instalado em seu sistema. O malware pode executar várias funções, incluindo extrair todos os cookies de navegador armazenados e cookies de sessão do Facebook da máquina da vítima, dados de registro específicos, tokens de segurança do Facebook e informações da conta do Facebook.
O malware rouba uma ampla gama de informações sobre todas as empresas associadas à conta do Facebook, incluindo nome, estatísticas de verificação, limites de gastos com anúncios, funções, link de convite, ID do cliente, permissões da conta de anúncios, tarefas permitidas e status de acesso. O malware coleta informações semelhantes em todas as contas de anúncios associadas à conta do Facebook comprometida.
O ladrão de informações pode “roubar informações da conta do Facebook da vítima e sequestrar qualquer conta comercial do Facebook à qual a vítima tenha acesso suficiente adicionando endereços de e-mail controlados pelo invasor à conta comercial com privilégios de administrador e funções de editor financeiro”, diz Nejad. Adicionar um endereço de e-mail a uma conta comercial do Facebook solicita que o Facebook envie um link por e-mail para esse endereço – que, nesse caso, é controlado pelo invasor. O agente da ameaça usa esse link para obter acesso à conta, de acordo com o WithSecure.
Atores de ameaças com acesso de administrador à conta do Facebook da vítima podem causar muitos danos, incluindo assumir o controle total da conta comercial; visualizar e modificar configurações, pessoas e detalhes da conta; e até mesmo excluir o perfil comercial, diz Nejad. Quando uma vítima visada pode não ter acesso suficiente para permitir que o malware adicione os endereços de e-mail do agente da ameaça, o agente da ameaça conta com as informações extraídas das máquinas das vítimas e das contas do Facebook para se passar por elas.
Criação de malware mais inteligente
Nejad diz que as versões anteriores do ladrão de informações do Ducktail continham uma lista codificada de endereços de e-mail para usar no sequestro de contas comerciais.
“No entanto, com a campanha recente, observamos o agente da ameaça removendo essa funcionalidade e confiando inteiramente na busca de endereços de e-mail diretamente de seu canal de comando e controle (C2)”, hospedado no Telegram, diz o pesquisador. Após o lançamento, o malware estabelece uma conexão com o C2 e espera por um período de tempo para receber uma lista de endereços de e-mail controlados pelo invasor para prosseguir, acrescenta.
O relatório lista várias etapas que a organização pode tomar para mitigar a exposição a campanhas de ataque do tipo Ducktail, começando com a conscientização sobre golpes de spear phishing direcionados a usuários com acesso a contas comerciais do Facebook.
As organizações também devem aplicar listas brancas de aplicativos para impedir a execução de executáveis desconhecidos, garantir que todos os dispositivos gerenciados ou pessoais usados com contas corporativas do Facebook tenham higiene e proteção básicas e use a navegação privada para autenticar cada sessão de trabalho ao acessar contas comerciais do Facebook.
- blockchain
- carteiras de criptomoeda
- cryptoexchange
- cíber segurança
- cibercriminosos
- Cíber segurança
- Leitura escura
- Departamento de Segurança Interna
- carteiras digitais
- firewall
- Kaspersky
- malwares
- Mcafee
- NexBLOC
- platão
- platão ai
- Inteligência de Dados Platão
- Jogo de Platão
- PlatãoData
- jogo de platô
- VPN
- a segurança do website
