Ducktail infostealer е насочен към потребителите на Facebook Business

Служители с достъп до техните организации Facebook бизнес акаунтите трябва да бъдат нащрек срещу опити за отвличане от новооткрит актьор на заплаха, наречен Ducktail, според изследване, публикувано днес от изследователи от WithSecure (по-рано F-Secure).

WithSecure проследява Ducktail от известно време и вярва, че групата активно разработва и разпространява зловреден софтуер от почти година. Финансово мотивираната банда изглежда е базирана във Виетнам и е насочена към лица и организации, работещи в платформата за реклами и бизнес на Facebook с фишинг имейли.

Неговият начин на действие е да провежда проучване на лица, които вероятно имат достъп до акаунт във Facebook Business в LinkedInи след това провеждане на фишинг атаки срещу онези, които вероятно имат администраторски привилегии.

„Вярваме, че операторите на Ducktail внимателно избират малък брой цели, за да увеличат шансовете си за успех и да останат незабелязани“, каза Мохамад Казем Хасан Неджад, изследовател и анализатор на зловреден софтуер в WithSecure Intelligence. „Наблюдавахме лица с мениджърски, дигитален маркетинг, дигитални медии и роли в човешките ресурси в компании, които са били насочени.

„Много фишинг кампании са насочени към потребители в LinkedIn. Ако сте в роля, която има администраторски достъп до корпоративни акаунти в социалните медии, важно е да бъдете внимателни, когато взаимодействате с други хора в социалните медийни платформи, особено когато работите с прикачени файлове или връзки, изпратени от хора, които не сте запознати.”

Ducktail работи, като използва зловреден софтуер infostealer, който съдържа функционалност, която е специално проектирана да поеме контрола върху акаунтите във Facebook Business – което може да е първо в света.

Самият злонамерен софтуер обикновено се хоства в публични облачни услуги за съхранение на файлове – все по-популярен метод – и обикновено се доставя като архивен файл, съдържащ злонамерения изпълним файл заедно със свързани изображения, документи и видео файлове – имената на които обикновено използват ключови думи, които са подходящи за маркетинг на марка и продукт и планиране на проекти.

Самият злонамерен софтуер е написан на .NET Core и е компилиран с помощта на неговата функция за единичен файл – която обединява зависими библиотеки и файлове в един единствен изпълним файл. Това не е обичайна техника и Ducktail вероятно я използва, за да направи злонамерения софтуер по-лесен за стартиране на всички системи; за да му позволи да използва Telegram като свой команден и контролен (C2) канал; и да се опитате да заобиколите сигнатурите за откриване.

Веднъж попаднал в системата на жертвата, злонамереният софтуер на Ducktail краде бисквитки на браузъра от Google Chrome, Microsoft Edge, Brave Browser и Firefox и се възползва от съществуващите удостоверени Facebook сесии в системата, за да открадне подходяща информация от акаунта на жертвата във Facebook, която впоследствие може да използва, за да опита да отвлече всеки акаунт във Facebook Business, до който жертвата може да има достатъчен достъп. Имайте предвид, че също се опитва да заобиколи многофакторното удостоверяване, ако е активирано.

След това Ducktail се опитва да предостави достъп на имейла на заплахата до акаунта във Facebook Business, като използва един от двата механизма. И в двата случая това кара Facebook да изпрати по имейл връзка към новия адрес, който при взаимодействие предоставя достъп. Това е стандартна функционалност на Facebook и е точно начинът, по който някой обикновено би дал легитимен достъп на колега, така че функциите за сигурност на платформата не го улавят.

С постигнатия достъп Ducktail се опитва да си предостави роли на администратор и редактор на финанси в акаунта във Facebook Business, като получава неограничен достъп и възможността напълно да поеме присъствието на жертвата във Facebook във Facebook и да го използва за различни цели, които могат да включват по-нататъшно разпространение на зловреден софтуер, кражба , дезинформация и измама.

WithSecure каза, че не е успяла да определи успеха или липсата на такъв, който Ducktail е имал, за да премине през функциите за сигурност на Facebook, за да поеме контрола върху целевите акаунти, но групата активно разработва своя крадец на информация, вероятно в опит да осуети Съществуващите защити на Facebook. Компанията е споделила своите изследвания с компанията майка на Facebook, Meta.

Клиентите на WithSecure, използващи неговите услуги за сигурност на крайната точка, вече са защитени срещу Ducktail, но за потребители, които не са клиенти, непосредственият курс на действие е да прегледате потребителите, добавени към вашия акаунт във Facebook Business, като отидете на Business Manager > Settings > People и отмените достъпа за всички непознати потребители.

Допълнителна техническа информация за Ducktail, включително списък на имейл адресите, които е използвал, техники на MITER ATT&CK и индикатори за компрометиране, всички могат да бъдат достъпни тук.