นักคุกคามที่มีแรงจูงใจทางการเงินที่กำหนดเป้าหมายบุคคลและองค์กรบนแพลตฟอร์มโฆษณาและธุรกิจของ Facebook ได้กลับมาดำเนินการอีกครั้งหลังจากหายไปช่วงสั้น ๆ พร้อมกลเม็ดใหม่สำหรับการไฮแจ็กบัญชีและหากำไรจากบัญชีเหล่านั้น
แคมเปญภัยคุกคามในเวียดนามที่มีชื่อว่า Ducktail เริ่มดำเนินการตั้งแต่เดือนพฤษภาคม 2021 เป็นอย่างน้อย และส่งผลกระทบต่อผู้ใช้ที่มีบัญชีธุรกิจ Facebook ในสหรัฐอเมริกาและประเทศอื่นๆ อีกกว่าสามโหล นักวิจัยด้านความปลอดภัยจาก WithSecure (เดิมคือ F-Secure) ซึ่งติดตาม Ducktail ได้ประเมินว่าเป้าหมายหลักของผู้คุกคามคือการผลักดันโฆษณาที่ฉ้อโกงผ่านบัญชีธุรกิจของ Facebook ซึ่งพวกเขาจัดการเพื่อให้สามารถควบคุมได้
กลยุทธ์การพัฒนา
WithSecure พบกิจกรรมของ Ducktail เมื่อต้นปีนี้ และเปิดเผยรายละเอียดของกลวิธีและเทคนิคในบล็อกโพสต์เดือนกรกฎาคม การเปิดเผยข้อมูล บังคับให้ผู้ดำเนินการของ Ducktail ระงับการดำเนินการชั่วครู่ในขณะที่พวกเขาคิดค้นวิธีการใหม่เพื่อดำเนินการต่อกับแคมเปญของพวกเขา
ในเดือนกันยายน, Ducktail ปรากฏขึ้นอีกครั้ง ด้วยการเปลี่ยนแปลงวิธีการทำงานและกลไกในการหลบเลี่ยงการตรวจจับ WithSecure ระบุในรายงานเมื่อวันที่ 22 พ.ย. ว่าห่างไกลจากการชะลอตัว กลุ่มดังกล่าวได้ขยายการดำเนินงานโดยเพิ่มกลุ่มพันธมิตรหลายกลุ่มเข้าสู่แคมเปญ
นอกเหนือจากการใช้ LinkedIn เป็นช่องทางในการกำหนดเป้าหมายแบบสเปียร์ฟิชชิงอย่างที่เคยทำมาแล้ว แคมเปญก่อนหน้ากลุ่ม Ducktail ได้เริ่มใช้งานแล้ว WhatsApp สำหรับผู้ใช้เป้าหมาย เช่นกัน. กลุ่มยังได้ปรับแต่งความสามารถของผู้ขโมยข้อมูลหลักและได้นำรูปแบบไฟล์ใหม่มาใช้เพื่อหลีกเลี่ยงการตรวจจับ ในช่วงสองหรือสามเดือนที่ผ่านมา Ducktail ยังได้จดทะเบียนบริษัทฉ้อฉลหลายแห่งในเวียดนาม ซึ่งเห็นได้ชัดว่าเป็นการปกปิดการได้รับใบรับรองดิจิทัลสำหรับการลงนามมัลแวร์
Mohammad Kazem Hassan Nejad นักวิจัยจาก WithSecure Intelligence กล่าวว่า "เราเชื่อว่าการดำเนินการ Ducktail ใช้การเข้าถึงบัญชีธุรกิจที่ถูกแย่งชิงเพื่อสร้างรายได้โดยการโฆษณาหลอกลวง"
ในสถานการณ์ที่ผู้คุกคามเข้าถึงบทบาทบรรณาธิการการเงินในบัญชีธุรกิจ Facebook ที่ถูกบุกรุก พวกเขายังสามารถแก้ไขข้อมูลบัตรเครดิตธุรกิจและรายละเอียดทางการเงิน เช่น ธุรกรรม ใบแจ้งหนี้ การใช้จ่ายในบัญชี และวิธีการชำระเงิน Nejad กล่าว . ซึ่งจะทำให้ผู้คุกคามสามารถเพิ่มธุรกิจอื่นๆ ลงในบัตรเครดิตและใบแจ้งหนี้รายเดือน และใช้วิธีการชำระเงินที่เชื่อมโยงเพื่อแสดงโฆษณา
“ธุรกิจที่ถูกแย่งชิงจึงสามารถนำไปใช้เพื่อวัตถุประสงค์ต่างๆ เช่น การโฆษณา การฉ้อโกง หรือแม้กระทั่งการเผยแพร่ข้อมูลที่ผิด” Nejad กล่าว “ผู้คุกคามสามารถใช้การเข้าถึงที่เพิ่งค้นพบเพื่อแบล็กเมล์บริษัทด้วยการล็อคไม่ให้พวกเขาออกจากเพจของตนเอง”
การโจมตีเป้าหมาย
กลยุทธ์ของผู้ดำเนินการ Ducktail คือการระบุองค์กรที่มีบัญชี Facebook Business หรือ Ads ก่อน จากนั้นจึงกำหนดเป้าหมายบุคคลภายในบริษัทเหล่านั้นที่พวกเขาเห็นว่ามีสิทธิ์เข้าถึงบัญชีระดับสูง บุคคลทั่วไปที่กลุ่มเป้าหมายหมายรวมถึงผู้ที่มีบทบาทด้านการจัดการหรือบทบาทในด้านการตลาดดิจิทัล สื่อดิจิทัล และทรัพยากรบุคคล
ห่วงโซ่การโจมตีเริ่มต้นด้วยผู้คุกคามที่ส่งเหยื่อล่อฟิชชิ่งไปยังบุคคลเป้าหมายผ่านทาง LinkedIn หรือ WhatsApp ผู้ใช้ที่ตกเป็นเป้าล่อจะต้องติดตั้งตัวขโมยข้อมูลของ Ducktail ไว้ในระบบของตน มัลแวร์สามารถดำเนินการได้หลายอย่าง รวมถึงการแยกคุกกี้ของเบราว์เซอร์ที่เก็บไว้ทั้งหมดและคุกกี้เซสชันของ Facebook จากเครื่องของเหยื่อ ข้อมูลรีจิสทรีเฉพาะ โทเค็นการรักษาความปลอดภัยของ Facebook และข้อมูลบัญชี Facebook
มัลแวร์ขโมยข้อมูลที่หลากหลายเกี่ยวกับธุรกิจทั้งหมดที่เกี่ยวข้องกับบัญชี Facebook รวมถึงชื่อ สถานะการยืนยัน ขีดจำกัดการใช้จ่ายโฆษณา บทบาท ลิงก์คำเชิญ ID ลูกค้า สิทธิ์บัญชีโฆษณา งานที่อนุญาต และสถานะการเข้าถึง มัลแวร์รวบรวมข้อมูลที่คล้ายกันในบัญชีโฆษณาใด ๆ ที่เชื่อมโยงกับบัญชี Facebook ที่ถูกบุกรุก
นักขโมยข้อมูลสามารถ “ขโมยข้อมูลจากบัญชี Facebook ของเหยื่อและจี้บัญชี Facebook Business ใดๆ ที่เหยื่อสามารถเข้าถึงได้โดยการเพิ่มที่อยู่อีเมลที่ควบคุมโดยผู้โจมตีลงในบัญชีธุรกิจที่มีสิทธิ์ของผู้ดูแลระบบและบทบาทผู้แก้ไขด้านการเงิน” Nejad กล่าว การเพิ่มที่อยู่อีเมลในบัญชี Facebook Business จะทำให้ Facebook ส่งลิงก์ทางอีเมลไปยังที่อยู่นั้น ซึ่งในกรณีนี้ ผู้โจมตีจะเป็นผู้ควบคุม ผู้คุกคามใช้ลิงก์นั้นเพื่อเข้าถึงบัญชี ตามข้อมูลของ WithSecure
ผู้คุกคามที่มีสิทธิ์การเข้าถึงระดับผู้ดูแลในบัญชี Facebook ของเหยื่อสามารถสร้างความเสียหายได้มากมาย รวมถึงการควบคุมบัญชีธุรกิจอย่างเต็มรูปแบบ การดูและแก้ไขการตั้งค่า บุคคล และรายละเอียดบัญชี และแม้กระทั่งการลบโปรไฟล์ธุรกิจทั้งหมด Nejad กล่าว เมื่อเหยื่อที่เป็นเป้าหมายอาจไม่มีสิทธิ์เข้าถึงเพียงพอที่จะให้มัลแวร์เพิ่มที่อยู่อีเมลของผู้คุกคาม ผู้คุกคามจะอาศัยข้อมูลที่คัดแยกจากเครื่องของเหยื่อและบัญชี Facebook เพื่อปลอมตัวเป็นพวกเขา
สร้างมัลแวร์ที่ชาญฉลาดขึ้น
Nejad กล่าวว่าตัวขโมยข้อมูล Ducktail เวอร์ชันก่อนหน้ามีรายการที่อยู่อีเมลแบบฮาร์ดโค้ดเพื่อใช้สำหรับการไฮแจ็กบัญชีธุรกิจ
“อย่างไรก็ตาม ในแคมเปญล่าสุด เราสังเกตว่าผู้ก่อภัยคุกคามได้ลบฟังก์ชันนี้ออกและอาศัยการดึงที่อยู่อีเมลทั้งหมดโดยตรงจากช่องคำสั่งและควบคุม (C2)” ซึ่งโฮสต์บน Telegram นักวิจัยกล่าว เมื่อเปิดตัว มัลแวร์จะสร้างการเชื่อมต่อกับ C2 และรอระยะเวลาหนึ่งเพื่อรับรายชื่อที่อยู่อีเมลที่ควบคุมโดยผู้โจมตีเพื่อดำเนินการต่อ เขากล่าวเสริม
รายงานแสดงขั้นตอนต่างๆ ที่องค์กรสามารถดำเนินการเพื่อลดผลกระทบจากแคมเปญการโจมตีแบบ Ducktail โดยเริ่มจากการสร้างความตระหนักรู้ถึงสแกมแบบสเปียร์ฟิชชิงที่กำหนดเป้าหมายผู้ใช้ที่มีสิทธิ์เข้าถึงบัญชีธุรกิจของ Facebook
นอกจากนี้ องค์กรควรบังคับใช้รายการที่อนุญาตพิเศษของแอปพลิเคชันเพื่อป้องกันไม่ให้เรียกใช้งานโปรแกรมที่ไม่รู้จัก ตรวจสอบให้แน่ใจว่าอุปกรณ์ที่มีการจัดการหรืออุปกรณ์ส่วนตัวทั้งหมดที่ใช้กับบัญชี Facebook ของบริษัทมีสุขอนามัยและการป้องกันขั้นพื้นฐาน และใช้การเรียกดูแบบส่วนตัวเพื่อตรวจสอบสิทธิ์แต่ละเซสชันการทำงานเมื่อเข้าถึงบัญชี Facebook Business
- blockchain
- กระเป๋าสตางค์ cryptocurrency
- การแลกเปลี่ยนการเข้ารหัสลับ
- การรักษาความปลอดภัยในโลกไซเบอร์
- อาชญากรไซเบอร์
- cybersecurity
- การอ่านที่มืด
- กรมความมั่นคงภายในประเทศ
- กระเป๋าสตางค์ดิจิตอล
- ไฟร์วอลล์
- Kaspersky
- มัลแวร์
- แมคคาฟี
- เน็กซ์บล๊อก
- เพลโต
- เพลโตไอ
- เพลโตดาต้าอินเทลลิเจนซ์
- เกมเพลโต
- เพลโตดาต้า
- เพลโตเกม
- VPN
- ความปลอดภัยของเว็บไซต์
