0
0
Uma campanha de spear phishing apelidada de “Ducktail” foi descoberta visando profissionais de marketing e RH por meio do LinkedIn, com o objetivo de assumir as contas do Facebook Business e abusar da função de anúncios para executar esquemas de publicidade maliciosa.
A campanha fornece um malware personalizado, que identifica indivíduos com probabilidade de ter privilégios de administrador, verifica a máquina da vítima, procura navegadores populares e extrai todos os cookies armazenados, incluindo cookies de sessão do Facebook, dos navegadores encontrados.
O componente de malware pode aproveitar as sessões autenticadas do Facebook para roubar informações da conta do Facebook da vítima, que ele usa para sequestrar as contas do Facebook Business e do Facebook Ads da vítima.
A campanha parece ter motivação financeira, de acordo com o novo relatório do especialista em segurança WithSecure sobre a campanha Ducktail .
“Um dos recursos exclusivos do malware é sua capacidade de sequestrar contas do Facebook Business associadas à conta do Facebook da vítima”, explica o relatório da WithSecure. “Ele tenta conceder aos e-mails do agente da ameaça acesso aos negócios com as funções de maior privilégio”.
Mohammad Kazem Hassan Nejad, pesquisador da WithSecure Intelligence, explica que os invasores selecionam cuidadosamente seus alvos, certificando-se de que provavelmente estarão primeiro no Facebook Ads ou Business. se o agente da ameaça distribuir cegamente o malware por meio de outras formas de ataque, como campanhas de spam maliciosas, isso pode soar mais alarmes que alarmariam empresas, fornecedores de segurança cibernética e Meta sobre a atividade da Ducktail muito mais cedo, observa ele.
“Ao procurar empresas que operam na plataforma de anúncios e negócios do Facebook com antecedência e segmentar indivíduos que provavelmente têm acesso a uma conta comercial do Facebook, acreditamos que o agente da ameaça tenta aumentar sua chance de sucesso ao mesmo tempo em que faz o mínimo de barulho”, disse ele. diz.
Conexões com SilentFade
Nejad acrescenta que Ducktail é a primeira operação de malware centrada no Facebook que ele conhece que tenta sequestrar diretamente as contas do Facebook Business. No entanto, Nejad observa que uma operação anterior de malware do Facebook, apelidada de SilentFade, usou táticas semelhantes, como utilizar a lógica de infostealer que aproveita o GraphAPI do Meta para coletar informações privadas sobre a conta do Facebook das vítimas. SilentFade estava focado em cometer fraudes de anúncios .
“No entanto, SilentFade e Ducktail também diferem de algumas maneiras notáveis”, diz Nejad. “Enquanto o SilentFade infecta os sistemas das vítimas por meio de software pirata modificado e programas potencialmente indesejados, observamos a operação Ducktail utilizando spear-phishing em uma combinação de serviços de hospedagem de arquivos/nuvem do LinkedIn e de maneira direcionada”.
E enquanto a operação SilentFade foi atribuída a um grupo na China, Nejad diz que a WithSecure atribuiu esta operação, com alta confiança, a uma empresa no Vietnã.
Nejad aponta que o agente da ameaça continuou a atualizar o malware para melhorar sua capacidade de contornar os recursos de segurança existentes ou novos do Facebook, juntamente com outros recursos implementados.
“Por exemplo, um dos mecanismos mais recentes adicionados ao malware permite que o agente da ameaça envie uma lista de endereços de e-mail, por meio de seu canal de comando e comunicação, que eles gostariam de usar para sequestrar um negócio específico”, explica ele.
Facebook Business oferece aos hackers uma oportunidade privilegiada
O Facebook continua sendo uma das plataformas de rede social mais populares, com cerca de 3 bilhões de usuários ativos mensais, de acordo com seus últimos resultados trimestrais. Essa grande base de usuários e o amplo alcance que ela oferece a tornam uma plataforma perfeita para anunciantes e empresas operarem – e, portanto, o Facebook é uma das marcas favoritas dos phishers, de acordo com um relatório recente .
No mês passado, uma campanha de engenharia social empenhada em roubar credenciais de contas do Facebook e números de telefone de vítimas visava páginas de negócios por meio de uma campanha inteligente que incorporava o recurso de chatbot do Facebook Messenger.
À medida que o Ducktail sequestra as contas comerciais do Facebook ao obter acesso no nível de administrador, ele essencialmente dá ao agente da ameaça a capacidade de obter acesso ilimitado para usar a conta comercial sequestrada como desejar. Isso pode incluir a realização de publicidade maliciosa (malvertising), esforços clássicos de fraude (execução de golpes) ou disseminação de desinformação. O agente da ameaça também pode usar seu acesso recém-descoberto para chantagear uma empresa, bloqueando-a de sua própria conta comercial.
“No entanto, acreditamos que a operação Ducktail usa contas comerciais sequestradas puramente para ganhar dinheiro, divulgando anúncios, semelhante à campanha SilentFade”, diz Nejad.
Revisar usuários, revogar acesso
Nejad acrescentou que, para se proteger desses tipos de ataques, as organizações devem ter cautela, praticar vigilância e seguir práticas comuns de segurança cibernética.
“Se você acredita que foi uma vítima, também recomendamos revisar os usuários que foram adicionados à sua conta do Facebook Business por meio do Meta Business Manager e revogar o acesso de usuários desconhecidos que receberam acesso de administrador com a função de editor financeiro, bem como encerrar todas as sessões de autenticação do navegador e redefinindo suas credenciais de login existentes”, diz Nejad.
FONTE: DARK READING