Eine laufende cyberkriminelle Operation zielt auf Fachleute aus dem Bereich digitales Marketing und Personalwesen ab, um mit einer neu entdeckten Malware, die Daten stiehlt, Facebook Business-Konten zu kapern.
Forscher von WithSecure, dem Unternehmens-Spin-off des Sicherheitsgiganten F-Secure, entdeckte die laufende Kampagne Sie nannten es Ducktail und fanden Beweise dafür, dass ein vietnamesischer Bedrohungsakteur die Malware seit der zweiten Hälfte des Jahres 2021 entwickelt und verbreitet. Die Firma fügte hinzu, dass die Motive der Operationen rein finanziell getrieben zu sein scheinen.
Der Bedrohungsakteur sucht zunächst über LinkedIn nach Zielen, wo er Mitarbeiter auswählt, die wahrscheinlich hochrangigen Zugriff auf Facebook Business-Konten haben, insbesondere diejenigen mit der höchsten Zugriffsebene.
„Wir glauben, dass die Ducktail-Betreiber sorgfältig eine kleine Anzahl von Zielen auswählen, um ihre Erfolgschancen zu erhöhen und unbemerkt zu bleiben“, sagte Mohammad Kazem Hassan Nejad, ein Forscher und Malware-Analyst bei WithSecure Intelligence. „Wir haben beobachtet, dass Personen in Unternehmen in den Bereichen Management, digitales Marketing, digitale Medien und Personalwesen gezielt angegriffen wurden.“
Der Bedrohungsakteur verwendet dann Social Engineering, um das Ziel davon zu überzeugen, eine Datei herunterzuladen, die auf einem legitimen Cloud-Host wie Dropbox oder iCloud gehostet wird. Während die Datei Schlüsselwörter enthält, die sich auf Marken, Produkte und Projektplanung beziehen, um zu versuchen, legitim zu erscheinen, enthält sie datenstehlende Malware, von der WithSecure sagt, dass sie die erste Malware ist, die speziell zum Hijacking von Facebook-Geschäftskonten entwickelt wurde.
Sobald die Ducktail-Malware auf dem System eines Opfers installiert ist, stiehlt sie Browser-Cookies und entführt authentifizierte Facebook-Sitzungen, um Informationen aus dem Facebook-Konto des Opfers zu stehlen, einschließlich Kontoinformationen, Standortdaten und Zwei-Faktor-Authentifizierungscodes. Die Malware ermöglicht es dem Angreifer auch, jedes Facebook-Geschäftskonto zu kapern, auf das das Opfer ausreichend Zugriff hat, indem er einfach seine E-Mail-Adresse zum kompromittierten Konto hinzufügt, wodurch Facebook aufgefordert wird, einen Link per E-Mail an dieselbe E-Mail-Adresse zu senden.
„Der Empfänger – in diesem Fall der Angreifer – interagiert dann mit dem per E-Mail gesendeten Link, um Zugriff auf dieses Facebook-Unternehmen zu erhalten. Dieser Mechanismus stellt den Standardprozess dar, der verwendet wird, um Personen Zugang zu einem Facebook-Unternehmen zu gewähren, und umgeht somit Sicherheitsfunktionen, die von Meta zum Schutz vor solchem Missbrauch implementiert wurden“, sagt Nejad.
Die Bedrohungsakteure nutzen dann ihre neuen Privilegien, um die festgelegten Finanzdaten des Kontos zu ersetzen, um Zahlungen auf ihre Konten zu überweisen oder Facebook-Werbekampagnen mit Geldern der betroffenen Unternehmen durchzuführen.
WithSecure, das seine Forschung mit Meta teilte, sagte, es sei „nicht in der Lage, den Erfolg oder Misserfolg“ der Ducktail-Kampagne zu bestimmen, und könne nicht sagen, wie viele Benutzer möglicherweise betroffen seien, stellte jedoch fest, dass es kein regionales Muster gesehen habe in Ducktails Targeting, mit potenziellen Opfern, die über Europa, den Nahen Osten, Afrika und Nordamerika verteilt sind.
Ein Sprecher von Meta sagte gegenüber Tech in einer Erklärung: „Wir begrüßen die Sicherheitsforschung zu den Bedrohungen, die auf unsere Branche abzielen. Dies ist ein äußerst kontroverser Raum, und wir wissen, dass diese böswilligen Gruppen weiterhin versuchen werden, unserer Erkennung zu entgehen. Wir sind uns dieser speziellen Betrüger bewusst, gehen regelmäßig gegen sie vor und aktualisieren unsere Systeme weiterhin, um diese Versuche zu erkennen. Da diese Malware normalerweise von außerhalb der Plattform heruntergeladen wird, empfehlen wir den Benutzern, vorsichtig zu sein, welche Software sie auf ihren Geräten installieren.“