Ducktail 网络攻击者将 WhatsApp 添加到 Facebook 业务攻击链

一个以 Fb 广告和商业平台上的个人和组织为目标的出于经济动机的威胁行为者在短暂中断后恢复了运营,并推出了一系列新的骗局来劫持账户并从中获利。

被称为 Ducktail 的越南威胁活动至少从 2021 年 5 月开始就一直活跃,影响了在美国和其他 30 多个国家/地区拥有 Fb 商业帐户的用户。 跟踪 Ducktail 的 WithSecure(前身为 F-Safe)的安全研究人员评估认为,威胁行为者的主要目标是通过他们获得控制权的 Fb 商业帐户以欺诈方式推送广告。

战术演变

WithSecure 在今年早些时候发现了 Ducktail 的活动,并在 7 月份的博客文章中披露了其策略和技术的详细信息。 披露 Ducktail 运营商被迫暂停运营,同时他们想出了新的方法来继续他们的活动。

在九月, 鸭尾巴背 随着它的工作方式和避免被发现的机制的改变。 WithSecure 在 11 月 22 日的一份报告中表示,该集团的业务并未放缓,反而似乎扩大了业务。

除了使用 LinkedIn 作为网络钓鱼目标的工具,就像我在 以前的活动Ducktail group 现在开始使用 WhatsApp 定位用户 像那样。 该组织还修改了其核心信息窃贼的能力,并采用了一种新的文件格式,以避免被发现。 在过去的两三个月里,Ducktail 还在越南注册了几家欺诈公司,显然是为了获得数字证书来签署他们的恶意软件。

WithSecure Intelligence 的研究员 Mohammad Kazem Hassaninejad 说:“我们认为 Operation Ducktail 使用被劫持的企业账户只是为了通过推送欺诈性广告来赚钱。”

Nejad 说,在威胁行为者获得被黑 Fb 商业账户的财务编辑角色的访问权限的情况下,他们还能够修改商业信用卡信息和财务细节,例如交易、账单、账户支出和支付方式. . 这将允许威胁行为者将其他业务添加到信用卡和每月账单中,并使用相关的支付方式来投放广告。

“因此,被劫持的企业可能被用于广告、欺诈甚至传播虚假信息等目的,”内贾德说。 “威胁行为者还可以使用他们新获得的访问权限,通过阻止他们访问他们的私人页面来勒索公司。”

有针对性的攻击

Ducktail 运营商的策略是首先确定拥有 Fb 业务或广告帐户的组织,然后将目标锁定在这些企业中他们认为对帐户具有高级访问权限的个人。 该组织针对的个人通常包括在数字营销、数字媒体和人力资源方面担任职务或管理职务的人员。

攻击链始于威胁行为者通过 LinkedIn 或 WhatsApp 向目标个人发送鱼叉式网络钓鱼诱饵。 陷入诱惑陷阱的用户最终会在他们的系统上安装 Ducktail 的信息窃取工具。 该恶意软件可以执行多种功能,包括从受害者设备中提取浏览器中存储的所有 cookie 和 Fb 会话 cookie、特定注册数据、Fb 安全代码和 Fb 帐户信息。

该恶意软件窃取与 Fb 帐户关联的所有企业的广泛信息,包括名称、验证统计信息、广告支出限制、角色、邀请链接、客户端 ID、广告帐户权限、允许的任务和访问状态。 该恶意软件会收集与被黑 Fb 帐户关联的任何广告帐户的类似信息。

Nejad 说,信息窃贼可以“从受害者的 Fb 帐户中窃取信息,并劫持受害者有足够访问权限的任何 Fb 商业帐户,方法是将攻击者控制的电子邮件地址添加到具有管理员权限和财务编辑角色的商业帐户中。” 将电子邮件地址添加到 Fb Enterprise 帐户会提示 Fb 通过电子邮件发送指向该地址的链接——在本例中,该地址由攻击者控制。 据 WithSecure 称,威胁行为者使用此链接来访问该帐户。

对受害者的 Fb 帐户具有管理权限的威胁行为者可以造成很多伤害,包括完全控制公司的帐户; 查看和修改设置、人员和帐户详细信息; 艾哈迈迪内贾德说他甚至完全删除了公司简介。 当目标受害者没有足够的访问权限来允许恶意软件添加受威胁方的电子邮件地址时,威胁就会依赖从受害者的设备和 Fb 帐户中泄露的信息来冒充他们。

构建更智能的恶意软件

Nejad 说,以前版本的 Ducktail 信息窃贼包含一个加密的电子邮件地址列表,用于劫持企业帐户。

“然而,在最近的活动中,我们观察到威胁行为者删除了此功能,并完全依赖于直接从命令和控制 (C2) 通道获取电子邮件地址,”托管在 Telegram 上的研究人员说。 他补充说,启动后,恶意软件会与 C2 建立连接,并等待一段时间以接收攻击者控制的电子邮件地址列表,以便继续进行。

该报告列出了该组织可以采取的几个步骤来减少对类似 Ducktail 的攻击活动的暴露,首先是提高对针对有权访问 Fb 商业帐户的用户的网络钓鱼诈骗的认识。

组织还应强制执行应用程序白名单以防止运行未知的可执行文件,确保使用公司 Fb 帐户的所有托管或个人设备都具有基本的清洁和保护,并在访问 Fb 商业帐户时使用隐私浏览来验证每个会话。

#Ducktail #网络攻击者将 #WhatsApp #添加到 #Fb #业务攻击链

Leave a Comment

Your email address will not be published. Required fields are marked *