新型惡意軟件劫持 Facebook 企業帳戶
新發現的與越南威脅行為者相關的惡意軟件通過 LinkedIn 網絡釣魚活動以用戶為目標,竊取數據和管理員權限以獲取經濟利益。
一種新的惡意軟件正在通過針對 LinkedIn 帳戶的網絡釣魚活動劫持備受矚目的 Meta Facebook Business 和廣告平臺帳戶。研究人員表示,這種名為 Ducktail 的惡意軟件使用來自經過身份驗證的用戶會話的瀏覽器 cookie 來接管帳戶并竊取數據。
WithSecure(前身為 F-Secure)的研究人員在周二發布的一份報告中寫道,他們發現了正在進行的活動,這似乎是受經濟驅動的越南威脅行為者的工作。研究人員表示,該活動本身似乎至少自 2021 年下半年以來一直很活躍,而其背后的威脅行為者可能自 2018 年以來一直在網絡犯罪現場。
研究人員在報告隨附的博客文章中寫道:“該惡意軟件旨在竊取瀏覽器 cookie,并利用經過身份驗證的 Facebook 會話從受害者的 Facebook 帳戶中竊取信息,并最終劫持受害者有權訪問的任何 Facebook Business 帳戶。”Ducktail 演員有非常具體的目標——即在 Facebook 的業務和廣告平臺上運營的公司內對帳戶具有高級訪問權限的個人。
研究人員說,這些人包括在目標公司中擔任管理、數字營銷、數字媒體和人力資源角色的人。
研究人員寫道:“這些策略將增加對手在不為人知的情況下損害各自 Facebook 業務的機會。”
研究人員報告說,為了滲透帳戶,攻擊者通過網絡釣魚活動針對 LinkedIn 用戶,該活動使用與品牌、產品和項目規劃相關的關鍵字來引誘受害者下載包含惡意軟件可執行文件以及相關圖像、文檔和視頻文件的存檔文件。
惡意軟件組件
研究人員深入研究了這種新型惡意軟件,在其最新樣本中,它專門用 .NET Core 編寫,并通過其單文件功能進行編譯,這是“在惡意軟件中不常見的”,他們指出。
一旦感染系統,Ducktail 就會使用六個關鍵組件進行操作。研究人員表示,它首先創建互斥體并檢查以確保在任何給定時間只有一個惡意軟件實例在運行。
數據存儲組件將被盜數據存儲并加載到臨時文件夾中的文本文件中,而瀏覽器掃描功能掃描已安裝的瀏覽器以識別 cookie 路徑以供日后盜竊。
研究人員說,Ducktail 還有兩個組件專門用于從受害者那里竊取信息,一個是更通用的,竊取與 Facebook 無關的信息,另一個是竊取與 Facebook 業務和廣告賬戶相關的信息,并劫持這些賬戶。
第一個通用信息竊取組件會掃描受感染機器上的 Google Chrome、Microsoft Edge、Brave 瀏覽器或 Firefox,并針對它找到的每一個,提取所有存儲的 cookie,包括任何 Facebook 會話 cookie。
研究人員表示,致力于從 Facebook 業務/廣告帳戶中提取數據的 Ducktail 組件使用被盜的 Facebook 會話 cookie 從受害者的機器直接與各種 Facebook 端點(直接 Facebook 頁面或 API 端點)交互。他們說,它還從 cookie 中獲取其他安全憑證,以從受害者的 Facebook 帳戶中提取信息。
惡意軟件從 Facebook 竊取的具體信息包括:安全憑證、個人帳戶識別信息、業務詳細信息和廣告帳戶信息。
研究人員表示,Ducktail 還允許攻擊者對 Facebook 業務帳戶進行完全管理控制,這可以讓他們訪問用戶的信用卡或其他交易數據以獲取經濟利益。
Telegram C&C 和其他逃避技巧
研究人員說,Ducktail 的最后一個組件將數據泄露到 Telegram 頻道,用作威脅參與者的指揮和控制 (C&C)。研究人員說,這允許攻擊者通過限制從 C&C 發送到受害者機器的命令來逃避檢測。
此外,研究人員表示,該惡意軟件不會在機器上建立持久性,這也意味著它可以在不提醒用戶或標記 Facebook 安全性的情況下進入并執行其骯臟的工作。然而,他們說,威脅參與者觀察到的不同版本的 Ducktail 以各種方式表現出這種缺乏持久性。
研究人員寫道:“舊版本的惡意軟件只是簡單地執行,完成了它們的設計目標,然后退出。” “較新的版本在后臺運行無限循環,定期執行滲透活動。”
Ducktail 還具有 Facebook 數據竊取組件的固有功能,該組件旨在通過向 Facebook 實體發出任何數據請求似乎來自受害者的主瀏覽器來規避 Meta 安全功能。研究人員表示,這將使這些行為看起來對 Meta 安全無害。攻擊者還可以使用諸如被盜會話 cookie、訪問令牌、2FA 代碼、用戶代理、IP 地址和地理位置以及一般帳戶信息等信息來偽裝和冒充研究人員說,受害者。
