Фінансово вмотивований загрозник, спрямований на окремих осіб і організації на платформі Facebook Ads and Business, відновив роботу після короткої перерви з новим пакетом прийомів для викрадення облікових записів і отримання прибутку з них.
Кампанія загроз у В’єтнамі під назвою «Качиний хвіст» триває щонайменше з травня 2021 року та вплинула на користувачів бізнес-акаунтів у Facebook у Сполучених Штатах та понад трьох десятках інших країн. Дослідники з безпеки з WithSecure (раніше F-Secure), які відстежують Ducktail, дійшли висновку, що основною метою зловмисника є шахрайське розміщення реклами через бізнес-акаунти Facebook, над якими їм вдається отримати контроль.
Еволюція тактики
WithSecure помітив діяльність Ducktail на початку цього року та розкрив подробиці його тактики та техніки в липневому дописі в блозі. Розкриття змусив операторів Ducktail ненадовго призупинити роботу, поки вони винайшли нові методи продовження своєї кампанії.
У вересні, Качиний хвіст знову сплив зі змінами способу його роботи та його механізмів для уникнення виявлення. За словами WithSecure у звіті від 22 листопада, група не сповільнилася, а розширила свою діяльність, включивши до своєї кампанії кілька афілійованих груп.
На додаток до використання LinkedIn як шляху для цілей фішингу, як це було в попередні кампанії, група Ducktail тепер почала використовувати WhatsApp для націлювання на користувачів так само. Група також налаштувала можливості свого основного викрадача інформації та запровадила для нього новий формат файлу, щоб уникнути виявлення. Протягом останніх двох-трьох місяців Ducktail також зареєструвала кілька шахрайських компаній у В’єтнамі, очевидно, як прикриття для отримання цифрових сертифікатів для підпису свого шкідливого програмного забезпечення.
«Ми вважаємо, що операція «Качиний хвіст» використовує викрадений доступ до бізнес-облікового запису виключно для того, щоб заробити гроші, розміщуючи шахрайську рекламу», — говорить Мохаммад Казем Хассан Неджад, дослідник WithSecure Intelligence.
У ситуаціях, коли зловмисник отримує доступ до ролі фінансового редактора в скомпрометованому бізнес-акаунті Facebook, він також має можливість змінювати інформацію кредитної картки компанії та фінансові деталі, такі як транзакції, рахунки-фактури, витрати облікового запису та способи оплати, говорить Неджад. . Це дозволить зловмиснику додавати інші підприємства до кредитної картки та щомісячних рахунків-фактур, а також використовувати зв’язані способи оплати для показу реклами.
«Тому викрадений бізнес може бути використаний для таких цілей, як реклама, шахрайство або навіть поширення дезінформації», — каже Неджад. «Актор загрози також міг використати свій новий доступ, щоб шантажувати компанію, заблокувавши їх на їхній власній сторінці».
Цілеспрямовані атаки
Тактика операторів Ducktail полягає в тому, щоб спочатку визначити організації, які мають обліковий запис Facebook Business або Ads, а потім націлитися на осіб у цих компаніях, які, на їхню думку, мають доступ високого рівня до облікового запису. Цільовою групою зазвичай є люди, які займають керівні посади або посади в цифровому маркетингу, цифрових медіа та людських ресурсах.
Ланцюжок атак починається з того, що зловмисник надсилає цільовій особі приманку для фішингу через LinkedIn або WhatsApp. Користувачі, які попалися на приманку, в кінцевому підсумку встановлюють у своїй системі програму викрадання інформації Ducktail. Зловмисне програмне забезпечення може виконувати кілька функцій, включаючи вилучення всіх збережених файлів cookie браузера та файлів cookie сеансу Facebook із комп’ютера-жертви, конкретних даних реєстру, маркерів безпеки Facebook та інформації облікового запису Facebook.
Зловмисне програмне забезпечення викрадає широкий спектр інформації про всі компанії, пов’язані з обліковим записом Facebook, включаючи ім’я, статистику перевірки, ліміти витрат на рекламу, ролі, посилання для запрошення, ідентифікатор клієнта, дозволи рекламного облікового запису, дозволені завдання та статус доступу. Зловмисне програмне забезпечення збирає подібну інформацію про будь-які рекламні облікові записи, пов’язані зі зламаним обліковим записом Facebook.
Викрадач інформації може «викрасти інформацію з облікового запису жертви у Facebook і захопити будь-який обліковий запис Facebook Business, до якого жертва має достатній доступ, додавши адреси електронної пошти, контрольовані зловмисником, до бізнес-облікового запису з правами адміністратора та ролями фінансового редактора», — каже Неджад. Додавання адреси електронної пошти до облікового запису Facebook Business спонукає Facebook надіслати посилання електронною поштою на цю адресу, яка в даному випадку знаходиться під контролем зловмисника. Відповідно до WithSecure, зловмисник використовує це посилання, щоб отримати доступ до облікового запису.
Зловмисники, які мають доступ адміністратора до облікового запису жертви у Facebook, можуть завдати великої шкоди, зокрема отримати повний контроль над бізнес-акаунтом; перегляд і зміна налаштувань, людей і даних облікового запису; і навіть видалення бізнес-профілю, каже Неджад. Якщо цільова жертва може не мати достатнього доступу, щоб дозволити зловмисному програмному забезпеченню додати електронні адреси зловмисника, зловмисник покладається на інформацію, викрадену з машин жертви та облікових записів у Facebook, щоб видати себе за них.
Створення розумніших шкідливих програм
Неджад каже, що попередні версії викрадача інформації від Ducktail містили жорстко закодований список адрес електронної пошти, який використовувався для викрадення бізнес-акаунтів.
«Однак під час останньої кампанії ми спостерігали, як загрозливий суб’єкт видаляє цю функціональність і повністю покладається на отримання адрес електронної пошти безпосередньо зі свого каналу командування та управління (C2)», – розміщений у Telegram, – каже дослідник. Після запуску зловмисне програмне забезпечення встановлює з’єднання з C2 і чекає деякий час, щоб отримати список адрес електронної пошти, контрольованих зловмисником, щоб продовжити, додає він.
У звіті перелічено кілька кроків, які організація може вжити, щоб зменшити ризик атак, схожих на Ducktail, починаючи з підвищення обізнаності про фішингові шахрайства, націлені на користувачів, які мають доступ до бізнес-акаунтів Facebook.
Організаціям також слід запровадити білий список додатків, щоб запобігти запуску невідомих виконуваних файлів, переконатися, що всі керовані або персональні пристрої, які використовуються з корпоративними обліковими записами Facebook, мають базову гігієну та захист, а також використовувати приватний перегляд для автентифікації кожного робочого сеансу під час доступу до облікових записів Facebook Business.
