ڈکٹ ٹیل سائبر حملہ آور واٹس ایپ کو فیس بک بزنس اٹیک چین پلیٹو بلاکچین ڈیٹا انٹیلی جنس میں شامل کرتے ہیں۔ عمودی تلاش۔ عی

ڈکٹ ٹیل سائبر حملہ آور واٹس ایپ کو فیس بک بزنس اٹیک چین میں شامل کرتے ہیں۔

ٹائم سٹیمپ: 22 نومبر 2022 4:37 PM

فیس بک کے اشتہارات اور کاروباری پلیٹ فارم پر افراد اور تنظیموں کو نشانہ بنانے والے مالی طور پر حوصلہ افزائی کرنے والے دھمکی آمیز اداکار نے ایک مختصر وقفے کے بعد دوبارہ کام شروع کر دیا ہے، جس میں اکاؤنٹس کو ہائی جیک کرنے اور ان سے منافع کمانے کے لیے ایک نئی چال ہے۔

ویتنام پر مبنی خطرے کی مہم، جسے ڈک ٹیل کا نام دیا جاتا ہے، کم از کم مئی 2021 سے فعال ہے اور اس نے ریاستہائے متحدہ اور تین درجن سے زیادہ دیگر ممالک میں فیس بک کے کاروباری اکاؤنٹس والے صارفین کو متاثر کیا ہے۔ WithSecure (سابقہ ​​F-Secure) کے سیکیورٹی محققین جو Ducktail کا سراغ لگا رہے ہیں نے اندازہ لگایا ہے کہ دھمکی دینے والے اداکار کا بنیادی مقصد فیس بک بزنس اکاؤنٹس کے ذریعے دھوکہ دہی سے اشتہارات کو آگے بڑھانا ہے جس پر وہ کنٹرول حاصل کرنے کا انتظام کرتے ہیں۔

ترقی پذیر حکمت عملی

WithSecure نے اس سال کے شروع میں Ducktail کی سرگرمی کو دیکھا اور جولائی کے ایک بلاگ پوسٹ میں اس کی حکمت عملیوں اور تکنیکوں کی تفصیلات کا انکشاف کیا۔ انکشاف ڈک ٹیل کے آپریٹرز کو آپریشن کو مختصر طور پر معطل کرنے پر مجبور کیا جبکہ انہوں نے اپنی مہم کو جاری رکھنے کے لیے نئے طریقے وضع کیے تھے۔

ستمبر میں، بتھ کی ٹیل دوبارہ سامنے آگئی اس کے کام کرنے کے طریقے اور پتہ لگانے سے بچنے کے اس کے طریقہ کار میں تبدیلیوں کے ساتھ۔ 22 نومبر کو ایک رپورٹ میں WithSecure نے کہا کہ سست ہونے سے بہت دور، ایسا لگتا ہے کہ اس گروپ نے اپنے آپریشنز کو بڑھا دیا ہے، متعدد ملحقہ گروپوں کو اپنی مہم میں شامل کر لیا ہے۔

لنکڈ اِن کو اسپیئر فشنگ اہداف کے لیے بطور ایونیو استعمال کرنے کے علاوہ، جیسا کہ اس نے کیا تھا۔ گزشتہ مہمات، Ducktail گروپ نے اب استعمال کرنا شروع کر دیا ہے۔ صارفین کو نشانہ بنانے کے لیے واٹس ایپ اس کے ساتھ ساتھ. گروپ نے اپنے بنیادی معلومات چوری کرنے والے کی صلاحیتوں میں بھی تبدیلی کی ہے اور اس کے لیے ایک نیا فائل فارمیٹ اپنایا ہے، تاکہ پتہ لگانے سے بچ سکے۔ پچھلے دو یا تین مہینوں کے دوران، Ducktail نے بھی ویتنام میں متعدد دھوکہ دہی والی کمپنیوں کو رجسٹر کیا ہے، بظاہر اس کے میلویئر پر دستخط کرنے کے لیے ڈیجیٹل سرٹیفکیٹ حاصل کرنے کے لیے ایک کور کے طور پر۔

WithSecure Intelligence کے ایک محقق، محمد کاظم حسن نژاد کہتے ہیں، "ہمیں یقین ہے کہ Ducktail آپریشن ہائی جیک شدہ کاروباری اکاؤنٹ تک رسائی کو خالصتاً جعلی اشتہارات کو آگے بڑھا کر پیسہ کمانے کے لیے استعمال کرتا ہے۔" 

Nejad کا کہنا ہے کہ ایسے حالات میں جہاں دھمکی دینے والے اداکار کو سمجھوتہ شدہ فیس بک بزنس اکاؤنٹ پر فنانس ایڈیٹر کے کردار تک رسائی حاصل ہوتی ہے، وہ کاروباری کریڈٹ کارڈ کی معلومات اور مالی تفصیلات جیسے کہ لین دین، رسیدیں، اکاؤنٹ کے اخراجات اور ادائیگی کے طریقوں میں ترمیم کرنے کی صلاحیت رکھتے ہیں۔ . یہ دھمکی دینے والے اداکار کو کریڈٹ کارڈ اور ماہانہ انوائسز میں دوسرے کاروبار شامل کرنے اور اشتہارات چلانے کے لیے منسلک ادائیگی کے طریقے استعمال کرنے کی اجازت دے گا۔

نجاد کا کہنا ہے کہ "اس لیے ہائی جیک کیے گئے کاروبار کو اشتہارات، دھوکہ دہی، یا یہاں تک کہ غلط معلومات پھیلانے جیسے مقاصد کے لیے استعمال کیا جا سکتا ہے۔" "دھمکی دینے والا اداکار کسی کمپنی کو ان کے اپنے صفحے سے لاک کرکے بلیک میل کرنے کے لئے اپنی نئی رسائی کا استعمال کرسکتا ہے۔"

ٹارگٹڈ حملے

ڈک ٹیل کے آپریٹرز کی حکمت عملی یہ ہے کہ پہلے ان تنظیموں کی نشاندہی کریں جن کے پاس فیس بک بزنس یا اشتہارات کا اکاؤنٹ ہے اور پھر ان کمپنیوں کے اندر موجود افراد کو نشانہ بنانا ہے جنہیں وہ اکاؤنٹ تک اعلیٰ سطح کی رسائی کے طور پر سمجھتے ہیں۔ گروپ نے جن افراد کو عام طور پر نشانہ بنایا ہے ان میں ڈیجیٹل مارکیٹنگ، ڈیجیٹل میڈیا اور انسانی وسائل میں انتظامی کردار یا کردار کے حامل افراد شامل ہیں۔ 

حملے کا سلسلہ اس دھمکی آمیز اداکار کے ساتھ شروع ہوتا ہے جو نشانہ بنائے گئے فرد کو لنکڈ ان یا واٹس ایپ کے ذریعے نیزہ بازی کا لالچ بھیجتا ہے۔ وہ صارفین جو لالچ کا شکار ہوتے ہیں ان کے سسٹم میں ڈک ٹیل کی معلومات چوری کرنے والا انسٹال ہوتا ہے۔ مالویئر متعدد افعال انجام دے سکتا ہے، بشمول تمام ذخیرہ شدہ براؤزر کوکیز اور متاثرہ مشین سے فیس بک سیشن کوکیز، مخصوص رجسٹری ڈیٹا، فیس بک سیکیورٹی ٹوکنز، اور فیس بک اکاؤنٹ کی معلومات۔ 

میلویئر فیس بک اکاؤنٹ سے وابستہ تمام کاروباروں سے متعلق معلومات کی ایک وسیع رینج چرا لیتا ہے، بشمول نام، تصدیقی اعدادوشمار، اشتھاراتی اخراجات کی حدیں، کردار، مدعو لنک، کلائنٹ آئی ڈی، اشتھاراتی اکاؤنٹ کی اجازت، اجازت شدہ کام، اور رسائی کی حیثیت۔ میلویئر سمجھوتہ شدہ Facebook اکاؤنٹ سے وابستہ کسی بھی اشتہاری اکاؤنٹس پر اسی طرح کی معلومات اکٹھا کرتا ہے۔

نجاد کا کہنا ہے کہ معلومات چوری کرنے والا "متاثرہ کے فیس بک اکاؤنٹ سے معلومات چرا سکتا ہے اور کسی بھی فیس بک بزنس اکاؤنٹ کو ہائی جیک کر سکتا ہے جس تک حملہ آور کے زیر کنٹرول ای میل ایڈریس کو ایڈمنسٹریٹر کے مراعات اور فنانس ایڈیٹر کے کرداروں کے ساتھ شامل کر کے متاثرہ کے پاس کافی رسائی ہے۔" فیس بک بزنس اکاؤنٹ میں ای میل ایڈریس شامل کرنا فیس بک کو اس ایڈریس پر ای میل کے ذریعے ایک لنک بھیجنے کا اشارہ کرتا ہے - جو اس معاملے میں حملہ آور کے کنٹرول میں ہوتا ہے۔ WithSecure کے مطابق، دھمکی آمیز اداکار اکاؤنٹ تک رسائی حاصل کرنے کے لیے اس لنک کا استعمال کرتا ہے۔

متاثرہ کے فیس بک اکاؤنٹ تک ایڈمن کی رسائی کے ساتھ دھمکی آمیز اداکار بہت زیادہ نقصان پہنچا سکتے ہیں، بشمول کاروباری اکاؤنٹ کا مکمل کنٹرول حاصل کرنا؛ ترتیبات، لوگوں، اور اکاؤنٹ کی تفصیلات دیکھنا اور ان میں ترمیم کرنا؛ اور یہاں تک کہ کاروباری پروفائل کو مکمل طور پر حذف کرنا، نجاد کا کہنا ہے۔ جب ایک نشانہ بنایا گیا شکار کے پاس میلویئر کو دھمکی دینے والے اداکار کے ای میل ایڈریس کو شامل کرنے کی اجازت دینے کے لیے کافی رسائی نہیں ہو سکتی ہے، تو دھمکی دینے والے اداکار نے متاثرین کی مشینوں اور فیس بک اکاؤنٹس سے نکالی گئی معلومات پر انحصار کیا ہے۔

بہتر میلویئر بنانا

نجاد کا کہنا ہے کہ ڈک ٹیل کے معلومات چوری کرنے والے کے پہلے ورژن میں کاروباری اکاؤنٹس کو ہائی جیک کرنے کے لیے استعمال کرنے کے لیے ای میل پتوں کی ایک سخت کوڈ شدہ فہرست موجود تھی۔ 

محقق کا کہنا ہے کہ "تاہم، حالیہ مہم کے ساتھ، ہم نے دھمکی آمیز اداکار کو اس فعالیت کو ہٹانے اور اپنے کمانڈ اینڈ کنٹرول چینل (C2) سے براہ راست ای میل ایڈریس حاصل کرنے پر مکمل انحصار کرتے ہوئے دیکھا،" محقق کا کہنا ہے۔ انہوں نے مزید کہا کہ لانچ ہونے پر، میلویئر C2 سے کنکشن قائم کرتا ہے اور آگے بڑھنے کے لیے حملہ آور کے زیر کنٹرول ای میل پتوں کی فہرست حاصل کرنے کے لیے ایک مدت کا انتظار کرتا ہے۔

رپورٹ میں کئی ایسے اقدامات کی فہرست دی گئی ہے جو تنظیم ڈکٹ ٹیل جیسی حملے کی مہموں کی نمائش کو کم کرنے کے لیے اٹھا سکتی ہے، جس کی شروعات فیس بک بزنس اکاؤنٹس تک رسائی کے حامل صارفین کو نشانہ بنانے والے سپیئر فشنگ گھوٹالوں کے بارے میں بیداری پیدا کرنا ہے۔ 

تنظیموں کو نامعلوم ایگزیکیوٹیبلز کو چلنے سے روکنے کے لیے ایپلیکیشن وائٹ لسٹنگ کو بھی نافذ کرنا چاہیے، اس بات کو یقینی بنانا چاہیے کہ کمپنی Facebook اکاؤنٹس کے ساتھ استعمال ہونے والے تمام منظم یا ذاتی ڈیوائسز میں بنیادی حفظان صحت اور تحفظ موجود ہے، اور Facebook بزنس اکاؤنٹس تک رسائی کے دوران ہر کام کے سیشن کی تصدیق کے لیے نجی براؤزنگ کا استعمال کریں۔

ٹائم اسٹیمپ:

سے زیادہ گہرا پڑھنا