Ducktail kibernetski napadalci Dodajte WhatsApp v Facebook Business Attack Chain

Finančno motiviran akter groženj, ki cilja na posameznike in organizacije na Facebookovi platformi Ads and Business, je po kratkem premoru nadaljeval z delovanjem z novo vrečo trikov za ugrabitev računov in pridobivanje dobička iz njih.

Vietnamska groženjska kampanja, imenovana Ducktail, je aktivna vsaj od maja 2021 in je prizadela uporabnike s poslovnimi računi Facebook v Združenih državah in več kot treh ducatih drugih državah. Varnostni raziskovalci iz WithSecure (prej F-Secure), ki sledijo Ducktailu, so ocenili, da je glavni cilj akterja grožnje goljufivo izrivanje oglasov prek poslovnih računov Facebook, nad katerimi jim uspe pridobiti nadzor.

Razvijajoče se taktike

WithSecure je opazil dejavnost Ducktaila v začetku tega leta in v julijski objavi na blogu razkril podrobnosti o svojih taktikah in tehnikah. Razkritje prisilil operaterje Ducktaila, da so za kratek čas prekinili delovanje, medtem ko so oblikovali nove metode za nadaljevanje svoje kampanje.

V septembru, Ducktail se je ponovno pojavil s spremembami načina delovanja in mehanizmov za izogibanje odkrivanju. Daleč od tega, da bi se upočasnila, se zdi, da je skupina razširila svoje delovanje in vključila več pridruženih skupin v svojo kampanjo, je dejal WithSecure v poročilu 22. novembra.

Poleg uporabe LinkedIna kot poti za tarče lažnega predstavljanja, kot je to storil v prejšnje akcije, je skupina Ducktail zdaj začela uporabljati WhatsApp za ciljanje uporabnikov prav tako. Skupina je prav tako prilagodila zmogljivosti svojega primarnega krajca informacij in sprejela novo obliko datoteke zanj, da bi se izognila odkrivanju. V zadnjih dveh ali treh mesecih je Ducktail registriral tudi več goljufivih podjetij v Vietnamu, očitno kot krinko za pridobivanje digitalnih potrdil za podpisovanje svoje zlonamerne programske opreme.

»Verjamemo, da operacija Ducktail uporablja ugrabljen dostop do poslovnega računa izključno za služenje denarja z izrivanjem goljufivih oglasov,« pravi Mohammad Kazem Hassan Nejad, raziskovalec pri WithSecure Intelligence. 

V situacijah, ko akter grožnje pridobi dostop do vloge urednika financ na ogroženem poslovnem računu Facebook, ima tudi možnost spreminjanja podatkov o poslovni kreditni kartici in finančnih podrobnosti, kot so transakcije, računi, poraba računa in načini plačila, pravi Nejad. . To bi akterju grožnje omogočilo dodajanje drugih podjetij na kreditno kartico in mesečne račune ter uporabo povezanih načinov plačila za prikazovanje oglasov.

»Ugrabljeno podjetje bi torej lahko uporabili za namene, kot so oglaševanje, goljufije ali celo za širjenje dezinformacij,« pravi Nejad. "Akter grožnje bi lahko uporabil svoj novoodkriti dostop tudi za izsiljevanje podjetja tako, da bi ga zaklenil z lastne strani."

Ciljni napadi

Taktika operaterjev podjetja Ducktail je, da najprej identificirajo organizacije, ki imajo račun Facebook Business ali Ads, nato pa ciljajo na posameznike v teh podjetjih, za katere menijo, da imajo dostop do računa na visoki ravni. Posamezniki, na katere je skupina običajno ciljala, so ljudje z vodstvenimi vlogami ali vlogami v digitalnem trženju, digitalnih medijih in človeških virih. 

Veriga napada se začne tako, da akter grožnje ciljnemu posamezniku pošlje vabo za lažno predstavljanje prek LinkedIna ali WhatsApp. Uporabniki, ki nasedejo vabi, imajo na koncu v sistem nameščen Ducktailov kradljivec informacij. Zlonamerna programska oprema lahko izvaja več funkcij, vključno z ekstrakcijo vseh shranjenih piškotkov brskalnika in piškotkov seje Facebook iz računalnika žrtve, posebnih podatkov registra, varnostnih žetonov Facebook in informacij o računu Facebook. 

Zlonamerna programska oprema ukrade široko paleto informacij o vseh podjetjih, povezanih z računom Facebook, vključno z imenom, statistiko preverjanja, omejitvami porabe oglasov, vlogami, povezavo za povabilo, ID-jem odjemalca, dovoljenji za račun za oglase, dovoljenimi nalogami in statusom dostopa. Zlonamerna programska oprema zbira podobne podatke o vseh oglasnih računih, povezanih z ogroženim računom Facebook.

Krajec informacij lahko »ukrade informacije iz žrtvinega računa Facebook in ugrabi kateri koli račun Facebook Business, do katerega ima žrtev zadosten dostop, tako da v poslovni račun doda e-poštne naslove, ki jih nadzoruje napadalec, s skrbniškimi pravicami in vlogami urednika financ,« pravi Nejad. Če dodate e-poštni naslov v račun Facebook Business, Facebook pozove, da pošlje povezavo prek e-pošte na ta naslov - ki ga v tem primeru nadzira napadalec. Po mnenju WithSecure akter grožnje uporablja to povezavo za dostop do računa.

Akterji groženj s skrbniškim dostopom do žrtvinega Facebook računa lahko naredijo veliko škode, vključno s prevzemom popolnega nadzora nad poslovnim računom; ogledovanje in spreminjanje nastavitev, oseb in podrobnosti računa; in celo dokončen izbris poslovnega profila, pravi Nejad. Kadar ciljna žrtev morda nima zadostnega dostopa, da bi zlonamerni programski opremi omogočila dodajanje e-poštnih naslovov povzročitelja grožnje, se je akter grožnje zanašal na informacije, ki so bile pridobljene iz žrtev strojev in računov Facebook, da bi se izdal zanje.

Ustvarjanje pametnejše zlonamerne programske opreme

Nejad pravi, da so prejšnje različice Ducktailovega kradljivca informacij vsebovale trdo kodiran seznam e-poštnih naslovov za uporabo za ugrabitev poslovnih računov. 

"Vendar pa smo z nedavno kampanjo opazili, da akter grožnje odstrani to funkcionalnost in se v celoti zanaša na pridobivanje e-poštnih naslovov neposredno iz svojega kanala za ukaze in nadzor (C2)," gostuje na Telegramu, pravi raziskovalec. Po zagonu zlonamerna programska oprema vzpostavi povezavo s C2 in čaka nekaj časa, da prejme seznam e-poštnih naslovov, ki jih nadzoruje napadalec, da lahko nadaljuje, dodaja.

Poročilo navaja več korakov, ki jih lahko sprejme organizacija za zmanjšanje izpostavljenosti napadalnim kampanjam, podobnim Ducktailu, začenši z ozaveščanjem o prevarah s lažnim predstavljanjem, ki ciljajo na uporabnike z dostopom do poslovnih računov Facebook. 

Organizacije bi morale uveljaviti tudi seznam dovoljenih aplikacij, da preprečijo zagon neznanih izvedljivih datotek, zagotoviti, da imajo vse upravljane ali osebne naprave, ki se uporabljajo z računi podjetja Facebook, osnovno higieno in zaščito, ter uporabljati zasebno brskanje za preverjanje pristnosti vsake delovne seje pri dostopu do računov Facebook Business.