Ördek kuyruğu bilgi hırsızı Facebook Business kullanıcılarını hedefliyor

WithSecure (eski adıyla F-Secure) araştırmacıları tarafından bugün yayınlanan araştırmaya göre, kuruluşlarının Facebook Business hesaplarına erişimi olan çalışanlar, Ducktail adlı yeni ortaya çıkarılan bir tehdit aktörünün kaçırma girişimlerine karşı dikkatli olmalıdır.

WithSecure, bir süredir Ducktail’i izliyor ve grubun neredeyse bir yıldır kötü amaçlı yazılımını aktif olarak geliştirdiğine ve dağıttığına inanıyor. Finansal olarak motive olmuş çete Vietnam’da yerleşik gibi görünüyor ve Facebook’un Reklamlar ve İş platformunda faaliyet gösteren bireyleri ve kuruluşları hedef odaklı kimlik avı e-postalarıyla hedefliyor.

Modus operandi, LinkedIn’de bir Facebook Business hesabına erişimi olması muhtemel kişiler üzerinde araştırma yapmak ve ardından yönetici ayrıcalıklarına sahip olması muhtemel kişilere karşı hedef odaklı kimlik avı saldırıları gerçekleştirmektir.

WithSecure Intelligence’da araştırmacı ve kötü amaçlı yazılım analisti olan Mohammad Kazem Hassan Nejad, “Ducktail operatörlerinin başarı şanslarını artırmak ve fark edilmemek için az sayıda hedefi dikkatlice seçtiğine inanıyoruz” dedi. “Şirketlerde yönetsel, dijital pazarlama, dijital medya ve insan kaynakları rollerine sahip kişilerin hedef alındığını gözlemledik.

“Birçok hedef odaklı kimlik avı kampanyası, LinkedIn’deki kullanıcıları hedefliyor. Kurumsal sosyal medya hesaplarına yönetici erişimi olan bir görevdeyseniz, sosyal medya platformlarında başkalarıyla etkileşim kurarken, özellikle de tanımadığınız kişilerden gönderilen ekler veya bağlantılarla uğraşırken dikkatli olmanız önemlidir.”

Ducktail, Facebook Business hesaplarının kontrolünü ele geçirmek için özel olarak tasarlanmış işlevsellik içeren bir bilgi hırsızı kötü amaçlı yazılımı kullanarak çalışır – ki bu dünyada bir ilk olabilir.

Kötü amaçlı yazılımın kendisi genellikle, giderek daha popüler hale gelen bir yöntem olan genel bulut dosya depolama hizmetlerinde barındırılır ve genellikle, adları genellikle ilgili anahtar kelimeleri kullanan ilgili resimler, belgeler ve video dosyalarının yanı sıra kötü amaçlı yürütülebilir dosyayı içeren bir arşiv dosyası olarak teslim edilir. marka ve ürün pazarlaması ve proje planlaması.

Kötü amaçlı yazılımın kendisi .NET Core’da yazılır ve bağımlı kitaplıkları ve dosyaları tek bir yürütülebilir dosyada bir araya getiren tek dosya özelliği kullanılarak derlenir. Bu yaygın bir teknik değildir ve Ducktail muhtemelen kötü amaçlı yazılımın tüm sistemlerde çalışmasını kolaylaştırmak için kullanır; Telegram’ı komut ve kontrol (C2) kanalı olarak kullanmasına izin vermek; ve algılama imzalarını atlamaya çalışmak.

Ducktail’in kötü amaçlı yazılımı, kurban sistemine girdikten sonra, Google Chrome, Microsoft Edge, Brave Browser ve Firefox’tan tarayıcı tanımlama bilgilerini çalar ve kurbanın Facebook hesabından daha sonra denemek için kullanabileceği ilgili bilgileri çalmak için sistemdeki mevcut kimliği doğrulanmış Facebook oturumlarından yararlanır. kurbanın yeterli erişime sahip olabileceği herhangi bir Facebook İşletme hesabını ele geçirmek. Etkinleştirilmişse, çok faktörlü kimlik doğrulamayı atlamaya da çalıştığını unutmayın.

Ducktail daha sonra iki mekanizmadan birini kullanarak tehdit aktörünün Facebook Business hesabına e-posta erişimini sağlamaya çalışır. Her iki durumda da bu, Facebook’un yeni adrese bir bağlantıyı e-postayla göndermesine neden olur ve bu, etkileşime girdiğinde erişim sağlar. Bu standart Facebook işlevidir ve bir kişinin bir iş arkadaşına meşru erişim izni verme konusunda normalde nasıl davranacağı tam olarak budur, bu nedenle platformun güvenlik özellikleri onu almaz.

Erişim sağlandığında, Ducktail kendisine Facebook Business hesabında yönetici ve finans editörü rolleri vermeye çalışır, sınırsız erişim ve kurban kuruluşun Facebook varlığını tamamen devralma ve daha fazla kötü amaçlı yazılım dağıtımı, hırsızlık gibi çeşitli amaçlar için kullanma yeteneği kazanır. , dezenformasyon ve dolandırıcılık.

WithSecure, Ducktail’in hedeflenen hesapların kontrolünü ele geçirmek için Facebook’un güvenlik özelliklerini aşmada elde ettiği başarıyı veya eksikliğini belirleyemediğini, ancak grubun aktif olarak bilgi hırsızını geliştirdiğini söyledi. Facbook’un mevcut korumaları. Araştırmasını Facebook’un ana şirketi Meta ile paylaştı.

Uç nokta güvenlik hizmetlerini kullanan Secure müşterileri zaten Ducktail’e karşı korunmaktadır, ancak müşteri olmayan kullanıcılar için yapılacak ilk işlem, Business Manager > Ayarlar > Kişiler’e giderek Facebook Business hesabınıza eklenen kullanıcıları incelemek ve erişimi iptal etmektir. tüm bilinmeyen kullanıcılar.

Kullanmakta olduğu e-posta adreslerinin bir listesi, MITRE ATT&CK teknikleri ve uzlaşma göstergeleri dahil olmak üzere Ducktail hakkında daha fazla teknik bilgiye buradan erişilebilir.

Read Previous

Meta ilk insan hakları raporunu yayınladı

Read Next

Lambeth, bulut uygulamalarıyla geleceğin haritasını çıkarıyor

Leave a Reply

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

İstanbul masöz -