Новооткрит зловреден софтуер отвлича Facebook Business акаунти

Продължаваща киберпрестъпна операция е насочена към специалисти по дигитален маркетинг и човешки ресурси в опит да откраднат акаунти във Facebook Business с помощта на новооткрит злонамерен софтуер за кражба на данни.

Изследователи от WithSecure, корпоративното отделяне на гиганта за сигурност F-Secure, откри текущата кампания те нарекоха Ducktail и откриха доказателства, които предполагат, че виетнамски заплаха е разработвал и разпространявал зловреден софтуер от втората половина на 2021 г. Фирмата добави, че мотивите на операциите изглежда са чисто финансови.

Актьорът на заплахата първо разузнава цели чрез LinkedIn, където избира служители, които вероятно имат достъп на високо ниво до акаунти във Facebook Business, особено тези с най-високо ниво на достъп.

„Вярваме, че операторите на Ducktail внимателно избират малък брой цели, за да увеличат шансовете си за успех и да останат незабелязани“, каза Мохамад Казем Хасан Неджад, изследовател и анализатор на зловреден софтуер в WithSecure Intelligence. „Наблюдавахме лица с управленски, дигитален маркетинг, дигитални медии и роли в човешките ресурси в компании, които са били набелязани.“

След това заплахата използва социално инженерство, за да убеди целта да изтегли файл, хостван на легитимен облачен хост, като Dropbox или iCloud. Въпреки че файлът включва ключови думи, свързани с марки, продукти и планиране на проекти в опит да изглежда легитимен, той съдържа злонамерен софтуер за кражба на данни, за който WithSecure казва, че е първият злонамерен софтуер, който са виждали специално проектиран да отвлича акаунти във Facebook Business.

Веднъж инсталиран в системата на жертвата, зловреден софтуер Ducktail краде бисквитки на браузъра и отвлича автентифицирани Facebook сесии, за да открадне информация от акаунта на жертвата във Facebook, включително информация за акаунта, данни за местоположение и двуфакторна автентификация кодове. Злонамереният софтуер също така позволява на заплахата да отвлече всеки акаунт във Facebook Business, до който жертвата има достатъчен достъп, просто като добави своя имейл адрес към компрометирания акаунт, което подканва Facebook да изпрати връзка по имейл до същия имейл адрес.

„Получателят – в този случай, актьорът на заплахата – след това взаимодейства с изпратената по имейл връзка, за да получи достъп до този Facebook бизнес. Този механизъм представлява стандартния процес, използван за предоставяне на достъп на лица до бизнес във Facebook и по този начин заобикаля функциите за сигурност, внедрени от Meta, за да се предпази от такава злоупотреба“, казва Неджад.

След това участниците в заплахата използват новите си привилегии, за да заменят зададените финансови данни на акаунта, за да насочват плащания към своите акаунти или да провеждат рекламни кампании във Facebook, използвайки пари от фирмите-жертви.

WithSecure, която сподели своето изследване с Meta, заяви, че „не е в състояние да определи успеха или липсата на такъв“ на кампанията Ducktail и не може да каже колко потребители са потенциално засегнати, но отбеляза, че не е видял регионален модел в Ducktail’s се насочва с потенциални жертви в Европа, Близкия изток, Африка и Северна Америка.

Говорител на Meta каза пред TechCrunch в изявление:

Приветстваме изследванията за сигурността на заплахите, насочени към нашата индустрия. Това е силно враждебно пространство и знаем, че тези злонамерени групи ще продължат да се опитват да избегнат откриването ни. Ние знаем за тези конкретни измамници, редовно прилагаме мерки срещу тях и продължаваме да актуализираме нашите системи, за да откриваме тези опити. Тъй като този злонамерен софтуер обикновено се изтегля извън платформата, насърчаваме хората да бъдат внимателни относно софтуера, който инсталират на своите устройства.