En ekonomiskt motiverad hotaktör som riktar sig mot individer och organisationer på Facebooks Ads and Business-plattform har återupptagit sin verksamhet efter ett kort uppehåll, med en ny påse med tricks för att kapa konton och dra nytta av dem.
Den Vietnam-baserade hotkampanjen, kallad Ducktail, har varit aktiv sedan åtminstone maj 2021 och har påverkat användare med Facebook-företagskonton i USA och mer än tre dussin andra länder. Säkerhetsforskare från WithSecure (tidigare F-Secure) som spårar Ducktail har bedömt att hotaktörens primära mål är att bedrägligt trycka ut annonser via Facebook-företagskonton som de lyckas få kontroll över.
Utvecklande taktik
WithSecure upptäckte Ducktails aktivitet tidigare i år och avslöjade detaljer om dess taktik och tekniker i ett blogginlägg i juli. Avslöjandet tvingade Ducktails operatörer att tillfälligt avbryta verksamheten medan de utarbetade nya metoder för att fortsätta med sin kampanj.
I september, Andsvans dök upp igen med förändringar i hur det fungerar och i dess mekanismer för att undvika upptäckt. Långt ifrån att sakta ner, tycks gruppen ha utökat sin verksamhet och tagit med flera affiliate-grupper till sin kampanj, sa WithSecure i en rapport den 22 november.
Förutom att använda LinkedIn som en väg för spjutfiskemål, som det gjorde i tidigare kampanjer, har Ducktail-gruppen nu börjat använda WhatsApp för inriktning på användare också. Gruppen har också finjusterat kapaciteten hos sin primära informationsstjälare och har antagit ett nytt filformat för det för att undvika upptäckt. Under de senaste två eller tre månaderna har Ducktail också registrerat flera bedrägliga företag i Vietnam, uppenbarligen som ett skydd för att erhålla digitala certifikat för att signera sin skadliga programvara.
"Vi tror att Ducktail-verksamheten använder kapad tillgång till företagskonton enbart för att tjäna pengar genom att trycka ut falska annonser", säger Mohammad Kazem Hassan Nejad, forskare på WithSecure Intelligence.
I situationer där hotaktören får tillgång till rollen som finansredaktör på ett inträngt Facebook-företagskonto, har de också möjlighet att ändra affärskreditkortsinformation och finansiella detaljer, såsom transaktioner, fakturor, kontoutgifter och betalningsmetoder, säger Nejad . Detta skulle göra det möjligt för hotaktören att lägga till andra företag på kreditkortet och månadsfakturorna och använda de länkade betalningsmetoderna för att visa annonser.
"Den kapade verksamheten kan därför användas för ändamål som reklam, bedrägerier eller till och med för att sprida desinformation", säger Nejad. "Hotaktören kan också använda sin nyfunna åtkomst för att utpressa ett företag genom att låsa dem ute från sin egen sida."
Riktade attacker
Taktiken för Ducktails operatörer är att först identifiera organisationer som har ett Facebook Business- eller Ads-konto och sedan rikta in sig på individer inom de företag som de uppfattar som har tillgång till kontot på hög nivå. Individer som gruppen vanligtvis har riktat sig till inkluderar personer med chefsroller eller roller inom digital marknadsföring, digitala medier och mänskliga resurser.
Attackkedjan börjar med att hotaktören skickar den riktade individen ett spjutfiskedrag via LinkedIn eller WhatsApp. Användare som faller för lockbetet slutar med att Ducktails informationsstjälare installeras på sitt system. Skadlig programvara kan utföra flera funktioner, inklusive att extrahera alla lagrade webbläsarcookies och Facebook-sessionscookies från offermaskinen, specifik registerdata, Facebook-säkerhetstokens och Facebook-kontoinformation.
Skadlig programvara stjäl ett brett utbud av information om alla företag som är associerade med Facebook-kontot, inklusive namn, verifieringsstatistik, annonsutgiftsgränser, roller, inbjudningslänk, kund-ID, annonskontobehörigheter, tillåtna uppgifter och åtkomststatus. Skadlig programvara samlar in liknande information om alla annonskonton som är kopplade till det intrångade Facebook-kontot.
Informationsstjälaren kan "stjäla information från offrets Facebook-konto och kapa vilket Facebook Business-konto som helst som offret har tillräcklig tillgång till genom att lägga till angriparkontrollerade e-postadresser i affärskontot med administratörsbehörigheter och roller som finansredaktör", säger Nejad. Att lägga till en e-postadress till ett Facebook Business-konto uppmanar Facebook att skicka en länk via e-post till den adressen - som i det här fallet kontrolleras av angriparen. Hotaktören använder den länken för att få tillgång till kontot, enligt WithSecure.
Hotaktörer med administratörsåtkomst till ett offers Facebook-konto kan göra mycket skada, inklusive att ta full kontroll över affärskontot; visa och ändra inställningar, personer och kontodetaljer; och till och med radera företagsprofilen direkt, säger Nejad. När ett riktat offer kanske inte har tillräcklig tillgång för att tillåta skadlig programvara att lägga till hotaktörens e-postadresser, har hotet förlitat sig på informationen som exfiltrerats från offrens maskiner och Facebook-konton för att imitera dem.
Skapa smartare skadlig programvara
Nejad säger att tidigare versioner av Ducktails informationsstöldare innehöll en hårdkodad lista med e-postadresser som skulle användas för att kapa företagskonton.
"Men den senaste kampanjen observerade vi hur hotaktören tog bort denna funktionalitet och förlitade sig helt och hållet på att hämta e-postadresser direkt från sin kommando-och-kontrollkanal (C2)," värd på Telegram, säger forskaren. Vid lanseringen upprättar den skadliga programvaran en anslutning till C2 och väntar en tid på att få en lista med angriparkontrollerade e-postadresser för att kunna fortsätta, tillägger han.
Rapporten listar flera steg som organisationen kan vidta för att minska exponeringen för Ducktail-liknande attackkampanjer, till att börja med att öka medvetenheten om spjutfiske-bedrägerier riktade mot användare med tillgång till Facebook-företagskonton.
Organisationer bör också genomdriva vitlistning av applikationer för att förhindra att okända körbara filer körs, se till att alla hanterade eller personliga enheter som används med företagets Facebook-konton har grundläggande hygien och skydd på plats, och använda privat surfning för att autentisera varje arbetssession när de kommer åt Facebook Business-konton.
