一项正在进行的网络犯罪活动针对数字营销和人力资源专业人士,试图使用新发现的数据窃取恶意软件劫持 Facebook Business 帐户。
安全巨头 F-Secure 的企业衍生公司 WithSecure 的研究人员发现了正在进行的被他们称为 Ducktail 的活动,并发现证据表明越南威胁行为者自 2021 年下半年以来一直在开发和分发恶意软件。该公司补充说,运营的动机似乎纯粹是财务驱动的。
威胁行为者首先通过 LinkedIn 侦察目标,从中选择可能对 Facebook Business 帐户具有高级访问权限的员工,尤其是那些具有最高访问权限的员工。
WithSecure Intelligence 的研究员兼恶意软件分析师 Mohammad Kazem Hassan Nejad 表示:“我们认为,Ducktail 运营商会谨慎选择少数目标,以增加他们成功的机会并且不会引起注意。” “我们观察到在公司中担任管理、数字营销、数字媒体和人力资源角色的个人已成为目标。”
然后,威胁行为者使用社会工程来说服目标下载托管在合法云主机上的文件,例如 Dropbox 或 iCloud。虽然该文件包含与品牌、产品和项目规划相关的关键字以试图显得合法,但它包含数据窃取恶意软件,WithSecure 称这是他们看到的第一个专门设计用于劫持 Facebook 商业帐户的恶意软件。
一旦安装在受害者的系统上,Ducktail 恶意软件就会窃取浏览器 cookie 并劫持经过身份验证的 Facebook 会话,从而从受害者的 Facebook 帐户中窃取信息,包括帐户信息、位置数据和双重身份验证代码。该恶意软件还允许攻击者劫持受害者有权访问的任何 Facebook 业务帐户,只需将他们的电子邮件地址添加到受感染的帐户,这会提示 Facebook 通过电子邮件向同一电子邮件地址发送链接。
“收件人——在这种情况下是威胁行为者——然后与电子邮件链接进行交互以访问该 Facebook 业务。这种机制代表了用于授予个人访问 Facebook 业务的标准流程,从而绕过 Meta 实施的安全功能以防止此类滥用,”Nejad 说。
然后,威胁参与者利用他们的新特权来替换帐户的设定财务细节,以便将付款直接发送到他们的帐户或使用受害公司的资金运行 Facebook 广告活动。
与 Meta 分享其研究的 WithSecure 表示,它“无法确定 Ducktail 活动的成功与否”,也无法说明有多少用户可能受到影响,但指出它没有看到区域模式在 Ducktail 的目标中,潜在的受害者遍布欧洲、中东、非洲和北美。
Meta 的一位发言人在一份声明中告诉 TechCrunch:“我们欢迎对针对我们行业的威胁进行安全研究。这是一个高度对抗的空间,我们知道这些恶意组织将继续试图逃避我们的检测。我们知道这些特定的诈骗者,定期对他们进行执法,并继续更新我们的系统以检测这些企图。因为这种恶意软件通常是在平台外下载的,所以我们鼓励人们对他们在设备上安装的软件保持谨慎。”
原文: https://techcrunch.com/2022/07/26/ducktail-facebook-business-hijack-accounts/