一个以 Facebook 广告和商业平台上的个人和组织为目标的出于经济动机的威胁行为者在短暂中断后恢复了运营,并提供了一系列新的劫持账户并从中获利的技巧。
总部位于越南的威胁活动被称为 Ducktail,至少从 2021 年 XNUMX 月开始就一直活跃,并影响了在美国和其他三个国家/地区拥有 Facebook 商业帐户的用户。 跟踪 Ducktail 的 WithSecure(前身为 F-Secure)的安全研究人员评估认为,威胁行为者的主要目标是通过他们设法获得控制权的 Facebook 商业帐户以欺诈方式推送广告。
不断发展的战术
WithSecure 在今年早些时候发现了 Ducktail 的活动,并在 XNUMX 月的博客文章中披露了其策略和技术的详细信息。 披露 迫使 Ducktail 的运营商暂时停止运营,同时他们设计了新的方法来继续他们的活动。
在九月, 鸭尾重新浮出水面 改变它的运作方式和逃避检测的机制。 WithSecure 在 22 月 XNUMX 日的一份报告中表示,该组织不仅没有放缓,而且似乎已经扩大了业务,将多个附属组织加入其活动。
除了使用 LinkedIn 作为鱼叉式网络钓鱼目标的途径,就像它在 以前的活动, Ducktail 小组现已开始使用 用于定位用户的 WhatsApp 以及。 该组织还调整了其主要信息窃取程序的功能,并为其采用了一种新的文件格式,以逃避检测。 在过去的两三个月里,Ducktail 还在越南注册了多家欺诈公司,显然是为了获得用于签署其恶意软件的数字证书。
WithSecure Intelligence 的研究员 Mohammad Kazem Hassan Nejad 说:“我们认为 Ducktail 行动使用被劫持的企业帐户访问权限纯粹是为了通过推出欺诈性广告来赚钱。”
Nejad 说,在威胁行为者获得受感染的 Facebook 商业账户财务编辑角色的访问权限的情况下,他们还能够修改商业信用卡信息和财务细节,例如交易、发票、账户支出和支付方式. 这将允许威胁行为者将其他业务添加到信用卡和月度发票中,并使用链接的支付方式投放广告。
“因此,被劫持的企业可能被用于广告、欺诈,甚至传播虚假信息等目的,”Nejad 说。 “威胁行为者还可以利用他们新获得的访问权限,通过将他们锁定在自己的页面之外来勒索一家公司。”
有针对性的攻击
Ducktail 运营商的策略是首先确定拥有 Facebook 业务或广告帐户的组织,然后将目标锁定在这些公司中他们认为对帐户具有高级访问权限的个人。 该组织通常针对的个人包括在数字营销、数字媒体和人力资源领域担任管理职务或职务的人员。
攻击链始于威胁行为者通过 LinkedIn 或 WhatsApp 向目标个人发送鱼叉式网络钓鱼诱饵。 上当受骗的用户最终会在他们的系统上安装 Ducktail 的信息窃取程序。 该恶意软件可以执行多种功能,包括从受害机器中提取所有存储的浏览器 cookie 和 Facebook 会话 cookie、特定注册表数据、Facebook 安全令牌和 Facebook 帐户信息。
该恶意软件窃取了与 Facebook 帐户相关的所有企业的广泛信息,包括名称、验证统计信息、广告支出限制、角色、邀请链接、客户端 ID、广告帐户权限、允许的任务和访问状态。 该恶意软件会收集与受感染 Facebook 帐户关联的任何广告帐户的类似信息。
信息窃取者可以“从受害者的 Facebook 帐户中窃取信息,并通过将攻击者控制的电子邮件地址添加到具有管理员权限和财务编辑角色的商业帐户中,劫持受害者有足够访问权限的任何 Facebook 商业帐户,”Nejad 说。 将电子邮件地址添加到 Facebook Business 帐户会提示 Facebook 通过电子邮件向该地址发送链接——在本例中,该地址由攻击者控制。 据 WithSecure 称,威胁行为者使用该链接来访问该帐户。
对受害者的 Facebook 帐户具有管理员访问权限的威胁行为者可以造成很大的破坏,包括完全控制企业帐户; 查看和修改设置、人员和帐户详细信息; Nejad 说,甚至彻底删除业务简介。 当目标受害者可能没有足够的访问权限来允许恶意软件添加威胁行为者的电子邮件地址时,威胁行为者就会依赖从受害者的机器和 Facebook 帐户中泄露的信息来冒充他们。
构建更智能的恶意软件
Nejad 说,Ducktail 的信息窃取程序的早期版本包含一个硬编码的电子邮件地址列表,用于劫持企业帐户。
“然而,在最近的活动中,我们观察到威胁行为者删除了此功能并完全依赖于直接从其命令和控制通道 (C2) 获取电子邮件地址,”托管在 Telegram 上,研究人员说。 他补充说,启动后,恶意软件会建立与 C2 的连接并等待一段时间以接收攻击者控制的电子邮件地址列表以便继续。
该报告列出了组织可以采取的几个步骤来减少对 Ducktail 类攻击活动的暴露,首先是提高对针对有权访问 Facebook 商业帐户的用户的鱼叉式网络钓鱼诈骗的认识。
组织还应强制执行应用程序白名单以防止运行未知的可执行文件,确保使用公司 Facebook 帐户的所有托管或个人设备都具有基本的卫生和保护措施,并在访问 Facebook 商业帐户时使用隐私浏览来验证每个工作会话。
