一项代号为“Ducktail”的新网络钓鱼活动正在进行中,目标是 LinkedIn 上的专业人士,以接管为公司管理广告的 Facebook 商业账户。

facebook-fiber.webp

Ducktail 的经营者瞄准范围狭窄,并仔细选择受害者,试图找到对其雇主的社交媒体帐户具有管理员权限的人。

该活动的发现来自 WithSecure 的研究人员,他们自 2021 年以来一直在追踪他们认为是越南威胁行为者的行为,并收集了可追溯到 2018 年的活动证据。

这意味着 Ducktail 已经运行了至少一年,现在可能已经活跃了将近四年。

Actor的随机瞄准范围

Ducktail 的随机定位范围 (WithSecure)

窃取 Facebook 帐户

威胁行为者会联系 LinkedIn 上可能拥有 Facebook 业务帐户访问权限的员工,例如,被列为在“数字媒体”和“数字营销”工作的人作为他们的角色。

作为与潜在目标对话的一部分,威胁参与者使用社会工程和欺骗手段来说服他们下载托管在 Dropbox 或 iCloud 等合法云托管服务上的文件。

从 iCloud 下载恶意软件

从 iCloud 下载恶意软件 (WithSecure)

下载的档案包含与诈骗者和员工之间的讨论相关的 JPEG 图像文件,但还包括一个看起来像 PDF 文档的可执行文件。

存档中包含的文件

存档中包含的文件 (WithSecure)

这个文件实际上是一个 .NET Core 恶意软件,它包含所有必需的依赖项,允许它在任何计算机上运行,​​即使是那些没有安装 .NET 运行时的计算机。

执行时,恶意软件会扫描 Chrome、Edge、Brave 和 Firefox 上的浏览​​器 cookie,收集系统信息,并最终以 Facebook 凭据为目标。

“恶意软件使用 Facebook 会话 cookie(以及它通过初始会话 cookie 获得的其他安全凭证)直接与受害者机器上的各种 Facebook 端点交互,以从受害者的 Facebook 帐户中提取信息,”WithSecure 在报告中解释道。

对 Facebook 端点的请求看起来是真实的,因为它们来自使用有效会话 cookie 的受害者浏览器。

该恶意软件会爬取各种 Facebook 页面以捕获多个访问令牌,并在后期使用它们进行无阻碍的端点交互。

生成登录请求的代码

生成登录请求的代码 (WithSecure)

被盗信息包括 cookie、IP 地址、帐户信息(姓名、电子邮件、生日、用户 ID)、2FA 代码和地理位置数据,基本上允许攻击者从他们的机器上继续访问。

从被盗帐户中窃取的特定业务详细信息包括验证状态、广告限制、用户列表、客户列表、ID、货币、支付周期、花费金额和 adtrust DSL(动态花费限制)。

数据最终会通过 Telegram 机器人泄露,并发生在设定的时间段之间,或者当 Facebook 帐户被盗、恶意软件进程退出或恶意软件崩溃时。

被盗数据的泄露日志

被盗数据的泄露日志 (WithSecure)

劫持 Facebook 帐户

该恶意软件不仅会从受害者的 Facebook 帐户中窃取信息,而且还会通过将威胁参与者的电子邮件地址添加到受感染的 Facebook 业务帐户中来劫持这些帐户。添加用户时,他们会添加权限,允许威胁参与者完全访问该帐户。

将电子邮件地址添加到企业帐户的功能

将电子邮件地址添加到企业帐户的代码 (WithSecure)

然后,威胁参与者利用他们的新特权来替换设定的财务细节,以便他们可以直接向他们的账户付款,或者用受害公司的钱来运行 Facebook 广告活动。

WithSecure 认为,Ducktail 运营商的动机是财务,在需要一些时间才能发现并制止欺诈的环境中寻求轻松的利润。

值得注意的是,我们在 2022 年 4 月从名为FFDroider的信息窃取者那里看到了一种类似复杂的自动帐户窃取和会话令牌验证方法。

Tags: none

我有个想法