Злоумышленники Ducktail добавили WhatsApp в цепочку бизнес-атак Facebook

Финансово мотивированный злоумышленник, нацеленный на отдельных лиц и организации на платформе Facebook Ads and Business, возобновил свою деятельность после краткого перерыва с новым набором уловок для захвата учетных записей и получения от них прибыли.

Кампания угроз во Вьетнаме, получившая название Ducktail, активна как минимум с мая 2021 года и затронула пользователей с бизнес-аккаунтами Facebook в США и более чем в трех десятках других стран. Исследователи безопасности из WithSecure (ранее F-Secure), которые отслеживают Ducktail, пришли к выводу, что основная цель злоумышленника — мошенническим образом продвигать рекламу через бизнес-аккаунты Facebook, над которыми им удается получить контроль.

Развивающаяся тактика

Компания WithSecure заметила деятельность Ducktail в начале этого года и раскрыла подробности о тактике и методах ее действий в июльском сообщении в блоге. Раскрытие вынудили операторов Ducktail ненадолго приостановить работу, пока они разрабатывали новые методы продолжения своей кампании.

В сентябре, Утиный хвост всплыл на поверхность с изменениями в том, как он работает, и в его механизмах уклонения от обнаружения. Группа, похоже, не только не замедлилась, но и расширила свою деятельность, подключив к своей кампании несколько аффилированных групп, говорится в отчете WithSecure от 22 ноября.

Помимо использования LinkedIn в качестве средства целевого фишинга, как это было в предыдущие кампании, группа Ducktail теперь начала использовать WhatsApp для таргетинга пользователей также. Группа также настроила возможности своего основного похитителя информации и приняла для него новый формат файла, чтобы избежать обнаружения. В течение последних двух-трех месяцев Ducktail также зарегистрировала несколько мошеннических компаний во Вьетнаме, очевидно, в качестве прикрытия для получения цифровых сертификатов для подписи своего вредоносного ПО.

«Мы считаем, что операция «Утиный хвост» использует украденный доступ к бизнес-аккаунту исключительно для того, чтобы зарабатывать деньги, продвигая мошенническую рекламу», — говорит Мохаммад Казем Хассан Неджад, исследователь из WithSecure Intelligence. 

По словам Неджада, в ситуациях, когда злоумышленник получает доступ к роли финансового редактора в скомпрометированной бизнес-учетной записи Facebook, он также имеет возможность изменять информацию о кредитной карте компании и финансовые данные, такие как транзакции, счета-фактуры, расходы на учетную запись и способы оплаты. . Это позволит злоумышленнику добавлять другие компании к кредитной карте и ежемесячным счетам, а также использовать связанные способы оплаты для показа рекламы.

«Захваченный бизнес может быть использован в таких целях, как реклама, мошенничество или даже для распространения дезинформации», — говорит Нежад. «Злоумышленник также может использовать свой вновь обретенный доступ для шантажа компании, заблокировав ее на собственной странице».

Целевые атаки

Тактика операторов Ducktail заключается в том, чтобы сначала определить организации, у которых есть учетная запись Facebook Business или Ads, а затем нацелиться на отдельных лиц в этих компаниях, которые, по их мнению, имеют доступ высокого уровня к учетной записи. Люди, на которых обычно нацелена группа, включают людей с управленческими ролями или ролями в цифровом маркетинге, цифровых медиа и человеческих ресурсах. 

Цепочка атак начинается с того, что злоумышленник отправляет целевому лицу фишинговую приманку через LinkedIn или WhatsApp. Пользователи, которые попались на эту приманку, в конечном итоге установили в своей системе похититель информации Ducktail. Вредоносное ПО может выполнять несколько функций, в том числе извлекать все сохраненные файлы cookie браузера и файлы cookie сеанса Facebook с компьютера-жертвы, определенные данные реестра, токены безопасности Facebook и информацию об учетной записи Facebook. 

Вредоносная программа крадет широкий спектр информации обо всех компаниях, связанных с учетной записью Facebook, включая имя, статистику проверки, лимиты расходов на рекламу, роли, ссылку для приглашения, идентификатор клиента, разрешения для рекламной учетной записи, разрешенные задачи и статус доступа. Вредоносное ПО собирает аналогичную информацию о любых рекламных аккаунтах, связанных со взломанной учетной записью Facebook.

Похититель информации может «украсть информацию из учетной записи жертвы в Facebook и захватить любую учетную запись Facebook Business, к которой у жертвы есть достаточный доступ, добавив контролируемые злоумышленником адреса электронной почты в бизнес-аккаунт с правами администратора и ролями финансового редактора», — говорит Неджад. Добавление адреса электронной почты в учетную запись Facebook Business побуждает Facebook отправить ссылку по электронной почте на этот адрес, который в данном случае контролируется злоумышленником. По данным WithSecure, злоумышленник использует эту ссылку, чтобы получить доступ к учетной записи.

Злоумышленники с административным доступом к учетной записи Facebook жертвы могут нанести большой ущерб, в том числе получить полный контроль над бизнес-учетной записью; просмотр и изменение настроек, людей и сведений об учетной записи; и даже полное удаление бизнес-профиля, говорит Неджад. Когда целевая жертва может не иметь достаточного доступа, чтобы позволить вредоносному ПО добавить адреса электронной почты злоумышленника, злоумышленник использовал информацию, извлеченную с компьютеров жертв и учетных записей Facebook, чтобы выдать себя за них.

Создание более умного вредоносного ПО

Неджад говорит, что предыдущие версии похитителя информации Ducktail содержали жестко закодированный список адресов электронной почты, которые можно было использовать для взлома бизнес-аккаунтов. 

«Однако в ходе недавней кампании мы наблюдали, как злоумышленник удалил эту функцию и полностью полагался на получение адресов электронной почты непосредственно из своего канала управления и контроля (C2)», — говорит исследователь. После запуска вредоносное ПО устанавливает соединение с C2 и некоторое время ожидает получения списка адресов электронной почты, контролируемых злоумышленниками, чтобы продолжить работу, добавляет он.

В отчете перечислены несколько шагов, которые организация может предпринять, чтобы уменьшить подверженность атакам, подобным Ducktail, начиная с повышения осведомленности о мошенничестве с адресным фишингом, нацеленным на пользователей, имеющих доступ к бизнес-аккаунтам Facebook. 

Организации также должны ввести в белый список приложения, чтобы предотвратить запуск неизвестных исполняемых файлов, обеспечить базовую гигиену и защиту всех управляемых или личных устройств, используемых с корпоративными учетными записями Facebook, и использовать приватный просмотр для аутентификации каждого рабочего сеанса при доступе к учетным записям Facebook Business.