Un actor de amenințări motivat financiar care vizează persoane și organizații de pe platforma Facebook Ads and Business și-a reluat operațiunile după o scurtă pauză, cu un nou pachet de trucuri pentru a deturna conturi și a profita de pe urma acestora.
Campania de amenințări din Vietnam, numită Ducktail, este activă cel puțin din mai 2021 și a afectat utilizatorii cu conturi de afaceri Facebook din Statele Unite și peste trei duzini de alte țări. Cercetătorii de securitate de la WithSecure (fostă F-Secure) care urmăresc Ducktail au apreciat că obiectivul principal al actorului amenințării este de a difuza reclame în mod fraudulos prin conturile de afaceri Facebook asupra cărora reușesc să câștige controlul.
Tactici în evoluție
WithSecure a descoperit activitatea Ducktail la începutul acestui an și a dezvăluit detalii despre tacticile și tehnicile sale într-o postare pe blog din iulie. Dezvăluirea i-a forțat pe operatorii lui Ducktail să suspende operațiunile pentru o scurtă perioadă în timp ce au conceput noi metode pentru a-și continua campania.
In septembrie, Coada de rață a reapărut cu modificări ale modului în care funcționează și ale mecanismelor sale de sustragere a detectării. Departe de a încetini, grupul pare să-și fi extins operațiunile, integrând mai multe grupuri afiliate în campania sa, a spus WithSecure într-un raport din 22 noiembrie.
Pe lângă utilizarea LinkedIn ca o cale pentru ținte de spear-phishing, așa cum a făcut în campaniile anterioare, grupul Ducktail a început să folosească acum WhatsApp pentru vizarea utilizatorilor de asemenea. De asemenea, grupul a modificat capacitățile furtorului său principal de informații și a adoptat un nou format de fișier pentru el, pentru a evita detectarea. Pe parcursul ultimelor două sau trei luni, Ducktail a înregistrat, de asemenea, mai multe companii frauduloase în Vietnam, aparent ca o acoperire pentru obținerea de certificate digitale pentru semnarea programelor sale malware.
„Credem că operațiunea Ducktail folosește accesul la conturile de afaceri deturnate doar pentru a câștiga bani prin eliminarea reclamelor frauduloase”, spune Mohammad Kazem Hassan Nejad, cercetător la WithSecure Intelligence.
În situațiile în care actorul amenințării obține acces la rolul de editor financiar pe un cont de afaceri Facebook compromis, acesta are, de asemenea, capacitatea de a modifica informațiile despre cardul de credit de afaceri și detaliile financiare, cum ar fi tranzacțiile, facturile, cheltuielile contului și metodele de plată, spune Nejad. . Acest lucru ar permite actorului amenințării să adauge alte afaceri la cardul de credit și facturile lunare și să folosească metodele de plată asociate pentru a difuza anunțuri.
„Afacerea deturnată ar putea fi, prin urmare, folosită în scopuri precum publicitate, fraudă sau chiar pentru a răspândi dezinformarea”, spune Nejad. „Actorul amenințării ar putea, de asemenea, să-și folosească noul acces pentru a șantaja o companie, blocându-i să acceseze propria pagină.”
Atacurile țintite
Tactica operatorilor Ducktail este să identifice mai întâi organizațiile care au un cont Facebook Business sau Ads și apoi să vizeze persoane din acele companii pe care le percep ca având acces la nivel înalt la cont. Persoanele vizate de grupul de obicei includ persoane cu roluri manageriale sau roluri în marketing digital, media digitală și resurse umane.
Lanțul de atac începe cu actorul amenințării care trimite persoanei vizate o momeală de tip spear-phishing prin LinkedIn sau WhatsApp. Utilizatorii care se îndrăgostesc de naluca ajung să aibă instalat pe sistem furtul de informații al lui Ducktail. Malware-ul poate îndeplini mai multe funcții, inclusiv extragerea tuturor cookie-urilor de browser stocate și cookie-urilor de sesiune Facebook de pe computerul victimei, date specifice de registru, jetoane de securitate Facebook și informații despre contul Facebook.
Programul malware fură o gamă largă de informații despre toate companiile asociate cu contul Facebook, inclusiv numele, statisticile de verificare, limitele cheltuielilor publicitare, rolurile, linkul de invitație, ID-ul clientului, permisiunile contului publicitar, sarcinile permise și starea accesului. Programul malware colectează informații similare despre orice cont publicitar asociat cu contul Facebook compromis.
Furatorul de informații poate „fura informații din contul de Facebook al victimei și deturna orice cont Facebook Business la care victima are acces suficient, adăugând adrese de e-mail controlate de atacator în contul de afaceri cu privilegii de administrator și roluri de editor financiar”, spune Nejad. Adăugarea unei adrese de e-mail la un cont Facebook Business îi solicită Facebook să trimită un link prin e-mail către acea adresă – care, în acest caz, este controlată de atacator. Actorul amenințării folosește acel link pentru a obține acces la cont, potrivit WithSecure.
Actorii de amenințări cu acces de administrator la contul de Facebook al victimei pot face multe daune, inclusiv luarea controlului deplin asupra contului de afaceri; vizualizarea și modificarea setărilor, a persoanelor și a detaliilor contului; și chiar ștergerea profilului de afaceri, spune Nejad. Atunci când o victimă vizată ar putea să nu aibă acces suficient pentru a permite malware-ului să adauge adresele de e-mail ale actorului amenințării, amenințarea a făcut ca actorul să se bazeze pe informațiile exfiltrate din mașinile victimelor și din conturile Facebook pentru a le uzurpa identitatea.
Crearea unui program malware mai inteligent
Nejad spune că versiunile anterioare ale furtului de informații al lui Ducktail conțineau o listă codificată de adrese de e-mail de folosit pentru deturnarea conturilor de afaceri.
„Cu toate acestea, odată cu campania recentă, am observat că actorul amenințării elimină această funcționalitate și se bazează în întregime pe preluarea adreselor de e-mail direct de pe canalul său de comandă și control (C2)”, găzduit pe Telegram, spune cercetătorul. La lansare, malware-ul stabilește o conexiune la C2 și așteaptă o perioadă de timp pentru a primi o listă de adrese de e-mail controlate de atacatori pentru a continua, adaugă el.
Raportul enumeră câțiva pași pe care organizația îi poate lua pentru a atenua expunerea la campaniile de atac asemănător Ducktail, începând cu creșterea gradului de conștientizare a înșelătoriilor de tip spear-phishing care vizează utilizatorii cu acces la conturile de afaceri Facebook.
Organizațiile ar trebui, de asemenea, să impună înscrierea în lista albă a aplicațiilor pentru a preveni rularea executabilelor necunoscute, să se asigure că toate dispozitivele gestionate sau personale utilizate cu conturile Facebook ale companiei au igiena și protecție de bază și să folosească navigarea privată pentru a autentifica fiecare sesiune de lucru atunci când accesează conturile Facebook Business.
- blockchain
- portofele de criptare
- criptoschimb
- securitate cibernetică
- cybercriminals
- Securitate cibernetică
- Lectură întunecată
- Departamentul de Securitate Națională
- portofele digitale
- firewall
- Kaspersky
- malware
- McAfee
- NexBLOC
- Plato
- platoul ai
- Informații despre date Platon
- Jocul lui Platon
- PlatoData
- platogaming
- VPN
- securitatea site-ului
