針對 Facebook 業務和廣告帳戶的新 Ducktail Infostealer 惡意軟件

Facebook 的商業和廣告賬戶正處于正在進行的名為Ducktail的活動的接收端，該活動旨在作為財務驅動的網絡犯罪活動的一部分奪取控制權。

芬蘭網絡安全公司 WithSecure（前身為 F-Secure Business）在一份新報告中表示： “威脅行為者的目標是可能使用信息竊取惡意軟件訪問 Facebook Business 帳戶的個人和員工。”

“該惡意軟件旨在竊取瀏覽器 cookie，并利用經過身份驗證的 Facebook 會話從受害者的 Facebook 帳戶中竊取信息，并最終劫持受害者有權訪問的任何 Facebook 業務帳戶。”

這些攻擊歸因于越南威脅行為者，據說于 2021 年下半年開始，主要目標是在公司中擔任管理、數字營銷、數字媒體和人力資源角色的個人。

這個想法是針對對其組織關聯的 Facebook Business 帳戶具有高級訪問權限的員工，誘使他們下載托管在 Dropbox、Apple iCloud 和 MediaFire 上的所謂 Facebook 廣告信息。

在某些情況下，包含惡意負載的存檔文件也會通過 LinkedIn 傳遞給受害者，最終允許攻擊者接管任何 Facebook Business 帳戶。

該二進制文件是一種用 .NET Core 編寫的信息竊取惡意軟件，旨在使用 Telegram 進行命令和控制以及數據泄露。WithSecure 表示，它確定了八個用于此目的的 Telegram 頻道。

它通過掃描已安裝的瀏覽器（例如 Google Chrome、Microsoft Edge、Brave 瀏覽器和 Mozilla Firefox）來提取所有存儲的 cookie 和訪問令牌，同時從受害者的個人 Facebook 帳戶中竊取信息，例如姓名、電子郵件地址、出生日期, 和用戶 ID。

還掠奪了與受害者個人賬戶相關聯的企業和廣告賬戶的數據，允許攻擊者通過添加從 Telegram 頻道檢索到的參與者控制的電子郵件地址來劫持賬戶，并授予自己管理員和財務編輯訪問權限。

雖然具有管理員角色的用戶可以完全控制 Facebook Business 帳戶，但具有財務編輯權限的用戶可以編輯商業信用卡信息和財務詳細信息，例如交易、發票、帳戶支出和付款方式。

WithSecure 收集的遙測數據顯示了跨越多個國家的全球目標模式，包括菲律賓、印度、沙特阿拉伯、意大利、德國、瑞典和芬蘭。

盡管如此，該公司指出它“無法確定 Ducktail 活動是否成功”，并補充說它無法確定有多少用戶可能受到影響。

建議 Facebook Business 管理員檢查其訪問權限并刪除任何未知用戶以保護帳戶。

這些發現是另一個指標，表明不良行為者如何越來越多地依賴于 Discord 和 Telegram 等合法消息傳遞應用程序，濫用其自動化功能來傳播惡意軟件或實現其運營目標。

“主要與信息竊取者一起使用，網絡犯罪分子已經找到了使用這些平臺來托管、分發和執行各種功能的方法，最終使他們能夠從毫無戒心的用戶那里竊取憑據或其他信息，”英特爾 471周二表示。