新發(fā)現(xiàn)的與越南威脅行為者相關(guān)的惡意軟件以用戶(hù)為目標(biāo)，通過(guò)LinkedIn網(wǎng)絡(luò)釣魚(yú)活動(dòng)竊取數(shù)據(jù)和管理員權(quán)限以獲取經(jīng)濟(jì)利益。

一種新的惡意軟件正在通過(guò)針對(duì)LinkedIn帳戶(hù)的網(wǎng)絡(luò)釣魚(yú)活動(dòng)劫持備受關(guān)注的Meta Facebook Business和廣告平臺(tái)帳戶(hù)。研究人員表示，這種名為Ducktail的惡意軟件使用來(lái)自經(jīng)過(guò)身份驗(yàn)證的用戶(hù)會(huì)話(huà)的瀏覽器cookie來(lái)接管帳戶(hù)并竊取數(shù)據(jù)。

WithSecure（前身為F-Secure）的研究人員在周二發(fā)布的一份報(bào)告中寫(xiě)道，他們發(fā)現(xiàn)了這場(chǎng)正在進(jìn)行的活動(dòng)，這似乎是受經(jīng)濟(jì)驅(qū)動(dòng)的越南威脅行為者所為。研究人員表示，該活動(dòng)本身似乎至少自2021年下半年以來(lái)一直很活躍，而其背后的威脅行為者可能自2018年以來(lái)就一直在網(wǎng)絡(luò)犯罪現(xiàn)場(chǎng)。

研究人員在報(bào)告附帶的博客文章中寫(xiě)道：“該惡意軟件旨在竊取瀏覽器cookie，并利用經(jīng)過(guò)身份驗(yàn)證的Facebook會(huì)話(huà)從受害者的Facebook帳戶(hù)中竊取信息，并最終劫持受害者有權(quán)訪(fǎng)問(wèn)的任何Facebook Business帳戶(hù)?！?/p>

Infosec內(nèi)部人士和Ducktail參與者有非常具體的目標(biāo)——即在Facebook的商業(yè)和廣告平臺(tái)上運(yùn)營(yíng)的公司中擁有高級(jí)賬戶(hù)訪(fǎng)問(wèn)權(quán)限的個(gè)人，其中包括管理人員、數(shù)字營(yíng)銷(xiāo)人員、數(shù)字媒體人員和人力資源管理人員

研究人員說(shuō)：“這些策略將增加對(duì)手在不為人知的情況下?lián)p害不同F(xiàn)acebook業(yè)務(wù)的機(jī)會(huì)。”

研究人員報(bào)告說(shuō)，為了滲透帳戶(hù)，攻擊者針對(duì)Linkedln用戶(hù)發(fā)起一場(chǎng)網(wǎng)絡(luò)釣魚(yú)活動(dòng)，該活動(dòng)使用與品牌、產(chǎn)品和項(xiàng)目規(guī)劃相關(guān)的關(guān)鍵字來(lái)引誘受害者下載包含惡意軟件可執(zhí)行文件以及相關(guān)圖像、文檔和視頻文件的存檔文件。

惡意軟件組件

研究人員深入研究了這種新型惡意軟件，在其最新樣本中，它專(zhuān)門(mén)用.NET Core進(jìn)行了編寫(xiě)，并通過(guò)其單文件功能進(jìn)行編譯。這“在惡意軟件中是不常見(jiàn)的”，他們指出。

一旦感染系統(tǒng)，Ducktail就會(huì)使用六個(gè)關(guān)鍵組件進(jìn)行操作。研究人員表示，它首先創(chuàng)建互斥鎖并檢查，以確保在任何給定時(shí)間只有一個(gè)惡意軟件實(shí)例在運(yùn)行。

數(shù)據(jù)存儲(chǔ)組件將被盜數(shù)據(jù)存儲(chǔ)并加載到臨時(shí)文件夾中的文本文件中，而瀏覽器掃描功能可以?huà)呙枰寻惭b的瀏覽器從而識(shí)別cookie路徑以供日后盜竊。

研究人員說(shuō)，Ducktail還有兩個(gè)組件專(zhuān)門(mén)用于從受害者那里竊取信息，一個(gè)是通用的，竊取與Facebook無(wú)關(guān)的信息，另一個(gè)是竊取與Facebook商業(yè)和廣告賬戶(hù)相關(guān)的信息，并劫持這些賬戶(hù)。

第一個(gè)通用信息竊取組件會(huì)掃描受感染機(jī)器上的Google Chrome、Microsoft Edge、Brave瀏覽器或Firefox，并且提取所有存儲(chǔ)的cookie，包括任何Facebook會(huì)話(huà)cookie。

研究人員說(shuō)，Ducktail的組件專(zhuān)用于從臉書(shū)商業(yè)/廣告賬戶(hù)中提取數(shù)據(jù)，直接與各種臉書(shū)端點(diǎn)進(jìn)行交互——無(wú)論是直接的臉書(shū)頁(yè)面還是API端點(diǎn)——使用被盜的臉書(shū)會(huì)話(huà)cookie從受害者的機(jī)器中進(jìn)行交互。他們說(shuō)，它還從cookie中獲取其他安全憑證，以從受害者的Facebook帳戶(hù)中提取信息。

惡意軟件從Facebook竊取的具體信息包括：安全憑證、個(gè)人帳戶(hù)識(shí)別信息、業(yè)務(wù)詳細(xì)信息和廣告帳戶(hù)信息。

研究人員表示，Ducktail還允許威脅行為者對(duì)Facebook商業(yè)帳戶(hù)進(jìn)行完全管理控制，這可以讓他們?cè)L問(wèn)用戶(hù)的信用卡或其他交易數(shù)據(jù)以獲取經(jīng)濟(jì)利益。

Telegram C&C和其他逃避技巧

研究人員說(shuō)，Ducktail的最后一個(gè)組件將數(shù)據(jù)泄露到Telegram頻道，用作威脅參與者的指揮和控制（C&C）。研究人員說(shuō)，這允許攻擊者通過(guò)限制從C&C發(fā)送到受害者機(jī)器的命令來(lái)逃避檢測(cè)。

此外，研究人員表示，該惡意軟件不會(huì)在機(jī)器上建立持久性，這也意味著它可以在不提醒用戶(hù)或標(biāo)記Facebook安全性的情況下進(jìn)入并執(zhí)行入侵活動(dòng)。然而，他們說(shuō)，威脅參與者觀察到的不同版本的Ducktail以多種不同方式表現(xiàn)出這種持久性的缺乏。

研究人員寫(xiě)道：“舊版本的惡意軟件只是簡(jiǎn)單地執(zhí)行，完成了它們的設(shè)計(jì)目標(biāo)，然后退出?！薄拜^新的版本在后臺(tái)運(yùn)行無(wú)限循環(huán)，定期執(zhí)行滲透活動(dòng)?！?/p>

Ducktail還具有Facebook數(shù)據(jù)竊取組件的固有功能，該組件旨在通過(guò)向似乎是來(lái)自受害者的Facebook實(shí)體發(fā)出任何數(shù)據(jù)請(qǐng)求。研究人員表示，這將使這些行為看起來(lái)對(duì)Meta安全無(wú)害。攻擊者還可以使用諸如被盜會(huì)話(huà)cookie、訪(fǎng)問(wèn)令牌、2FA代碼、用戶(hù)代理、IP地址和地理位置以及一般帳戶(hù)信息等信息來(lái)偽裝和冒充受害者。

本文翻譯自：https://threatpost.com/malware-hijacks-facebook/180285/