Một kẻ đe dọa có động cơ tài chính nhắm mục tiêu vào các cá nhân và tổ chức trên nền tảng Quảng cáo và Kinh doanh của Facebook đã hoạt động trở lại sau một thời gian gián đoạn ngắn, với một loạt mánh khóe mới để chiếm đoạt tài khoản và thu lợi từ chúng.
Chiến dịch đe dọa có trụ sở tại Việt Nam, được đặt tên là Ducktail, đã hoạt động ít nhất từ tháng 2021 năm XNUMX và đã ảnh hưởng đến người dùng có tài khoản doanh nghiệp trên Facebook tại Hoa Kỳ và hơn ba chục quốc gia khác. Các nhà nghiên cứu bảo mật từ WithSecure (trước đây là F-Secure) đang theo dõi Ducktail đã đánh giá rằng mục tiêu chính của kẻ đe dọa là đăng quảng cáo gian lận thông qua tài khoản doanh nghiệp Facebook mà chúng quản lý để giành quyền kiểm soát.
Chiến thuật phát triển
WithSecure đã phát hiện hoạt động của Ducktail vào đầu năm nay và tiết lộ chi tiết về các chiến thuật và kỹ thuật của nó trong một bài đăng trên blog vào tháng XNUMX. Tiết lộ buộc những người điều hành Ducktail phải tạm dừng hoạt động trong một thời gian ngắn trong khi họ nghĩ ra các phương pháp mới để tiếp tục chiến dịch của mình.
Trong tháng Chín, đuôi vịt nổi lên với những thay đổi về cách thức hoạt động và cơ chế của nó để tránh bị phát hiện. WithSecure cho biết trong một báo cáo vào ngày 22 tháng XNUMX, không hề chậm lại, nhóm dường như đã mở rộng hoạt động của mình, đưa nhiều nhóm liên kết vào chiến dịch của mình.
Ngoài việc sử dụng LinkedIn như một con đường cho các mục tiêu lừa đảo trực tuyến, như nó đã làm trong các chiến dịch trước, nhóm Ducktail hiện đã bắt đầu sử dụng WhatsApp để nhắm mục tiêu người dùng cũng. Nhóm cũng đã điều chỉnh các khả năng của kẻ đánh cắp thông tin chính và đã áp dụng một định dạng tệp mới cho nó để tránh bị phát hiện. Trong hai hoặc ba tháng qua, Ducktail cũng đã đăng ký nhiều công ty lừa đảo tại Việt Nam, dường như là vỏ bọc để lấy chứng chỉ kỹ thuật số để ký phần mềm độc hại của mình.
Mohammad Kazem Hassan Nejad, một nhà nghiên cứu tại WithSecure Intelligence, cho biết: “Chúng tôi tin rằng hoạt động của Ducktail hoàn toàn sử dụng quyền truy cập tài khoản doanh nghiệp bị tấn công để kiếm tiền bằng cách đăng các quảng cáo gian lận.
Nejad cho biết: Trong trường hợp kẻ đe dọa có quyền truy cập vào vai trò biên tập tài chính trên tài khoản doanh nghiệp Facebook bị xâm nhập, chúng cũng có khả năng sửa đổi thông tin thẻ tín dụng doanh nghiệp và chi tiết tài chính, chẳng hạn như giao dịch, hóa đơn, chi tiêu tài khoản và phương thức thanh toán. . Điều này sẽ cho phép tác nhân đe dọa thêm các doanh nghiệp khác vào thẻ tín dụng và hóa đơn hàng tháng, đồng thời sử dụng các phương thức thanh toán được liên kết để chạy quảng cáo.
Nejad nói: “Do đó, doanh nghiệp bị tấn công có thể được sử dụng cho các mục đích như quảng cáo, lừa đảo hoặc thậm chí để truyền bá thông tin sai lệch. “Tác nhân đe dọa cũng có thể sử dụng quyền truy cập mới tìm thấy của họ để tống tiền một công ty bằng cách khóa họ khỏi trang của chính họ.”
Tấn công có mục tiêu
Chiến thuật của những người điều hành Ducktail trước tiên là xác định các tổ chức có tài khoản Facebook Business hoặc Ads, sau đó nhắm mục tiêu các cá nhân trong những công ty mà họ cho là có quyền truy cập cấp cao vào tài khoản. Các cá nhân mà nhóm thường nhắm mục tiêu bao gồm những người có vai trò quản lý hoặc vai trò trong tiếp thị kỹ thuật số, phương tiện kỹ thuật số và nguồn nhân lực.
Chuỗi tấn công bắt đầu với việc tác nhân đe dọa gửi cho cá nhân được nhắm mục tiêu một mồi nhử lừa đảo qua LinkedIn hoặc WhatsApp. Những người dùng bị dụ dỗ sẽ bị cài đặt phần mềm đánh cắp thông tin của Ducktail trên hệ thống của họ. Phần mềm độc hại có thể thực hiện nhiều chức năng, bao gồm trích xuất tất cả cookie trình duyệt và cookie phiên Facebook được lưu trữ từ máy nạn nhân, dữ liệu đăng ký cụ thể, mã thông báo bảo mật Facebook và thông tin tài khoản Facebook.
Phần mềm độc hại đánh cắp nhiều loại thông tin về tất cả các doanh nghiệp được liên kết với tài khoản Facebook, bao gồm tên, số liệu thống kê xác minh, giới hạn chi tiêu quảng cáo, vai trò, liên kết mời, ID khách hàng, quyền tài khoản quảng cáo, tác vụ được phép và trạng thái truy cập. Phần mềm độc hại thu thập thông tin tương tự trên bất kỳ tài khoản quảng cáo nào được liên kết với tài khoản Facebook bị xâm nhập.
Kẻ đánh cắp thông tin có thể “đánh cắp thông tin từ tài khoản Facebook của nạn nhân và chiếm quyền điều khiển bất kỳ tài khoản Facebook Business nào mà nạn nhân có đủ quyền truy cập bằng cách thêm địa chỉ email do kẻ tấn công kiểm soát vào tài khoản doanh nghiệp với các đặc quyền của quản trị viên và vai trò của biên tập viên tài chính,” Nejad nói. Việc thêm địa chỉ email vào tài khoản Facebook Business sẽ nhắc Facebook gửi liên kết qua email đến địa chỉ đó — trong trường hợp này, địa chỉ này do kẻ tấn công kiểm soát. Theo WithSecure, tác nhân đe dọa sử dụng liên kết đó để có quyền truy cập vào tài khoản.
Những kẻ đe dọa có quyền truy cập quản trị viên vào tài khoản Facebook của nạn nhân có thể gây ra nhiều thiệt hại, bao gồm cả việc kiểm soát hoàn toàn tài khoản doanh nghiệp; xem và sửa đổi cài đặt, con người và chi tiết tài khoản; và thậm chí xóa hoàn toàn hồ sơ doanh nghiệp, Nejad nói. Khi nạn nhân được nhắm mục tiêu có thể không có đủ quyền truy cập để cho phép phần mềm độc hại thêm địa chỉ email của tác nhân đe dọa, thì mối đe dọa đã khiến tác nhân dựa vào thông tin lấy được từ máy và tài khoản Facebook của nạn nhân để mạo danh họ.
Xây dựng phần mềm độc hại thông minh hơn
Nejad nói rằng các phiên bản trước của phần mềm đánh cắp thông tin Ducktail chứa một danh sách địa chỉ email được mã hóa cứng để sử dụng cho việc chiếm đoạt tài khoản doanh nghiệp.
“Tuy nhiên, với chiến dịch gần đây, chúng tôi đã quan sát thấy tác nhân đe dọa loại bỏ chức năng này và hoàn toàn dựa vào việc tìm nạp địa chỉ email trực tiếp từ kênh chỉ huy và kiểm soát (C2) của nó,” nhà nghiên cứu cho biết. Khi khởi chạy, phần mềm độc hại sẽ thiết lập kết nối với C2 và đợi một khoảng thời gian để nhận danh sách các địa chỉ email do kẻ tấn công kiểm soát để tiếp tục, ông nói thêm.
Báo cáo liệt kê một số bước mà tổ chức có thể thực hiện để giảm thiểu khả năng tiếp xúc với các chiến dịch tấn công kiểu Ducktail, bắt đầu bằng việc nâng cao nhận thức về các trò lừa đảo trực tuyến nhắm vào người dùng có quyền truy cập vào tài khoản kinh doanh trên Facebook.
Các tổ chức cũng nên thực thi danh sách trắng ứng dụng để ngăn các tệp thực thi không xác định chạy, đảm bảo rằng tất cả các thiết bị được quản lý hoặc cá nhân được sử dụng với tài khoản Facebook của công ty đều có sẵn các biện pháp bảo vệ và vệ sinh cơ bản, đồng thời sử dụng tính năng duyệt web riêng tư để xác thực từng phiên làm việc khi truy cập tài khoản Facebook Business.
