Infostealer 惡意軟件以 Facebook 企業帳戶為目標以捕獲敏感數據
WithSecure Intelligence 表示,Ducktail 惡意軟件試圖劫持使用 Facebook 商業和廣告平臺的個人的賬戶。
圖片:土坯股票
社交媒體是網絡犯罪分子喜歡利用來攻擊受害者的領域之一。作為最受歡迎的社交網絡之一,Facebook 經常成為惡意軟件活動的目標。網絡安全提供商 WithSecure Intelligence 分析的一種新攻擊針對 Facebook 商業用戶,目的是竊取他們的敏感數據并接管他們的賬戶。
Ducktail 如何攻擊企業?
使用 Facebook 的Meta Business Suite,組織可以指定特定的員工與客戶溝通,討論他們的產品和服務,并制作在 Facebook 上運行的廣告。在名為 Ducktail 的惡意活動中,網絡犯罪分子尋找使用 Facebook 商業/廣告平臺的公司,然后瞄準公司內可能對商業帳戶具有高級訪問權限的人員。據WithSecure稱,在此次活動中挑選出來的員工包括管理、數字營銷、數字媒體和人力資源部門的員工。下一步,攻擊者將惡意軟件部署給潛在的受害者,這些惡意軟件有時通過 LinkedIn 交付,通常托管在 Dropbox 和 iCloud 等基于云的服務上。惡意軟件本身被打包為包含文檔、圖像和視頻的存檔文件。這些文件名為“項目開發計劃”和“項目信息”,旨在誘使人們打開它們并啟動惡意軟件。
安裝后,惡意軟件會掃描以下任何瀏覽器:Google Chrome、Microsoft Edge、Brave 和 Firefox。對于每個瀏覽器,Ducktail 都會提取所有存儲的 cookie,包括 Facebook 會話的任何 cookie。然后,惡意軟件使用該 cookie 連接不同的 Facebook 端點以從用戶的 Facebook 帳戶中獲取信息。
對于個人 Facebook 帳戶,該惡意軟件旨在獲取用戶的姓名、電子郵件地址、生日和用戶 ID。對于企業帳戶,它會查找客戶的名稱、驗證狀態、廣告帳戶限制、所有者、角色和名稱。對于關聯的 Facebook 廣告帳戶,它會查找名稱、ID、帳戶狀態、付款周期、貨幣和花費金額。
最終,網絡犯罪分子在受害者的 Facebook 業務帳戶上賦予自己管理員和財務編輯的角色。實現這一目標后,他們可以完全控制賬戶,以及訪問和修改信用卡信息、交易、發票和付款方式。
網絡安全公司 Cerberus Sentinel 解決方案架構副總裁 Chris Clements 表示:“隨著企業對傳統勒索軟件攻擊的意識和彈性越來越強,網絡犯罪分子將尋找新的方法將成功的網絡攻擊轉化為不義之財。” “從歷史上看,我們已經看到對社交媒體賬戶的類似攻擊,例如 2020 年 7 月的 Twitter 黑客攻擊……但針對 Facebook 商業賬戶的定向方法是一個新的有趣的角度。與之前通過發布指向詐騙或惡意軟件的鏈接而迅速暴露自己的社交媒體劫持相比,此活動更加隱蔽,旨在修改廣告支出或引入廣告欺詐。”
保護企業免受這種新惡意軟件的侵害
為保護組織免受此類社交媒體驅動的威脅,WithSecure 提供以下建議:
- 轉向端點檢測和響應工具:EDR 工具可以分析攻擊的每個階段,從而生成有關單個事件的信息,以幫助您檢測和緩解它。
- 保護端點:一個好的端點保護和安全工具可以跨您的內部和外部網絡和設備檢測惡意軟件。確保啟用實時保護,但還要在端點上運行完全手動掃描。
- 查看 Facebook 業務用戶:登錄您的 Facebook 業務管理員頁面以查看所有已添加的用戶。選擇 Business Manager,轉到設置,然后選擇人員。然后,您可以撤銷任何被授予管理員訪問權限的未知用戶的訪問權限。
網絡安全公司 KnowBe4 的數據驅動防御布道者 Roger Grimes 表示:“幾乎每個組織都可以更好地改進其網絡安全防御計劃,如果他們更多地關注降低社會工程妥協的可能性。” “每個組織都應該看看他們可以在他們的縱深防御計劃(例如,政策、技術防御和教育)中改進什么,以擊敗社會工程。正是因為幾乎沒有組織適當地集中必要的資源和培訓來對抗社會工程,黑客和惡意軟件 [能夠] 取得如此長期的成功。”
