Facebook’un Reklamlar ve İş platformunda bireyleri ve kuruluşları hedef alan mali amaçlı bir tehdit aktörü, hesapları ele geçirmek ve bunlardan kâr elde etmek için bir dizi yeni numarayla kısa bir aradan sonra faaliyetlerine yeniden başladı.
Ducktail adlı Vietnam merkezli tehdit kampanyası, en az Mayıs 2021’den beri aktif ve ABD’de ve üç düzineden fazla ülkede Facebook işletme hesabı olan kullanıcıları etkiledi. WithSecure’dan (eski adıyla F-Secure) Ducktail’i takip eden güvenlik araştırmacıları, tehdit aktörünün birincil amacının, kontrolü ele geçirmeyi başardıkları Facebook işletme hesapları aracılığıyla sahtekarlıkla reklam yayınlamak olduğunu değerlendirdiler.
Gelişen Taktikler
WithSecure, Ducktail’in etkinliğini bu yılın başlarında tespit etti ve Temmuz ayındaki bir blog gönderisinde taktik ve tekniklerinin ayrıntılarını açıkladı. ifşa Ducktail operatörlerini, kampanyalarına devam etmek için yeni yöntemler geliştirirken operasyonları kısa bir süre askıya almaya zorladı.
Eylülde, ördek kuyruğu yeniden ortaya çıktı çalışma biçimindeki ve tespitten kaçınma mekanizmalarındaki değişikliklerle. WithSecure 22 Kasım’da yayınladığı bir raporda, grubun yavaşlamak şöyle dursun, kampanyasına birden fazla üye grubu dahil ederek operasyonlarını genişlettiğini söyledi.
Ducktail grubu, önceki kampanyalarda olduğu gibi hedef odaklı kimlik avı hedefleri için bir yol olarak LinkedIn’i kullanmanın yanı sıra, artık kullanıcıları hedeflemek için de WhatsApp’ı kullanmaya başladı. Grup ayrıca birincil bilgi hırsızının yeteneklerini değiştirdi ve tespit edilmekten kaçınmak için yeni bir dosya formatı benimsedi. Son iki veya üç ay boyunca Ducktail, görünüşe göre kötü amaçlı yazılımını imzalamak için dijital sertifikalar elde etmek için bir kılıf olarak Vietnam’da çok sayıda dolandırıcılık şirketi kaydettirdi.
WithSecure Intelligence araştırmacısı Mohammad Kazem Hassan Nejad, “Ördek Kuyruğu operasyonunun, yalnızca sahte reklamlar yayınlayarak para kazanmak için ele geçirilmiş ticari hesap erişimini kullandığına inanıyoruz” diyor.
Nejad, tehdit unsurunun ele geçirilmiş bir Facebook işletme hesabında finans editörü rolüne erişim elde ettiği durumlarda, ticari kredi kartı bilgilerini ve işlemler, faturalar, hesap harcamaları ve ödeme yöntemleri gibi mali ayrıntıları değiştirme olanağına da sahip olduğunu söylüyor. . Bu, tehdit aktörünün kredi kartına ve aylık faturalara başka işletmeler eklemesine ve reklam yayınlamak için bağlantılı ödeme yöntemlerini kullanmasına olanak tanır.
Nejad, “Kaçırılan iş bu nedenle reklam, dolandırıcılık ve hatta dezenformasyon yaymak gibi amaçlar için kullanılabilir” diyor. “Tehdit aktörü, yeni keşfettiği erişimi, bir şirketi kendi sayfasından kilitleyerek şantaj yapmak için de kullanabilir.”
Hedefli Saldırılar
Ducktail operatörlerinin taktiği, önce bir Facebook İşletme veya Reklam hesabına sahip kuruluşları tespit etmek ve ardından bu şirketlerde hesaba üst düzeyde erişimi olduğunu düşündükleri kişileri hedeflemektir. Grubun tipik olarak hedeflediği bireyler arasında, dijital pazarlama, dijital medya ve insan kaynaklarında yönetici rolleri veya rolleri olan kişiler yer alır.
Saldırı zinciri, tehdit aktörünün hedeflenen kişiye LinkedIn veya WhatsApp aracılığıyla hedefli kimlik avı yemi göndermesiyle başlar. Cazibesine kapılan kullanıcılar, sonunda Ducktail’in bilgi hırsızını sistemlerine yüklemiş olurlar. Kötü amaçlı yazılım, kurban makineden saklanan tüm tarayıcı çerezlerini ve Facebook oturum çerezlerini, belirli kayıt defteri verilerini, Facebook güvenlik belirteçlerini ve Facebook hesap bilgilerini çıkarmak dahil olmak üzere birden fazla işlevi gerçekleştirebilir.
Kötü amaçlı yazılım, ad, doğrulama istatistikleri, reklam harcama limitleri, roller, davet bağlantısı, müşteri kimliği, reklam hesabı izinleri, izin verilen görevler ve erişim durumu dahil olmak üzere Facebook hesabıyla ilişkili tüm işletmeler hakkında çok çeşitli bilgileri çalar. Kötü amaçlı yazılım, güvenliği ihlal edilmiş Facebook hesabıyla ilişkili tüm reklam hesaplarında benzer bilgileri toplar.
Nejad, bilgi hırsızının “kurbanın Facebook hesabından bilgi çalabileceğini ve kurbanın yeterli erişime sahip olduğu herhangi bir Facebook İşletme hesabını, yönetici ayrıcalıklarına ve finans editörü rollerine sahip saldırgan kontrollü e-posta adreslerini iş hesabına ekleyerek ele geçirebileceğini” söylüyor. Bir Facebook İşletme hesabına bir e-posta adresi eklemek, Facebook’tan bu adrese e-posta yoluyla bir bağlantı göndermesini ister – bu durumda adres saldırgan tarafından kontrol edilir. WithSecure’a göre, tehdit aktörü bu bağlantıyı hesaba erişmek için kullanıyor.
Bir kurbanın Facebook hesabına yönetici erişimi olan tehdit aktörleri, işletme hesabının tam kontrolünü ele geçirmek de dahil olmak üzere çok fazla zarar verebilir; ayarları, kişileri ve hesap ayrıntılarını görüntüleme ve değiştirme; ve hatta işletme profilini tamamen silmek, diyor Nejad. Hedeflenen bir kurban, kötü amaçlı yazılımın tehdit aktörünün e-posta adreslerini eklemesine izin vermek için yeterli erişime sahip olmayabileceği zaman, tehdit aktörü, kurbanların makinelerinden ve Facebook hesaplarından sızan bilgilere güvenerek onların kimliğine bürünür.
Daha Akıllı Kötü Amaçlı Yazılım Oluşturma
Nejad, Ducktail’in bilgi hırsızının önceki sürümlerinin, iş hesaplarını ele geçirmek için kullanılacak sabit kodlanmış bir e-posta adresleri listesi içerdiğini söylüyor.
Araştırmacı, “Ancak, son kampanyada, tehdit aktörünün bu işlevi kaldırdığını ve tamamen e-posta adreslerini doğrudan komuta ve kontrol kanalından (C2) almaya güvendiğini gözlemledik” diyor. Kötü amaçlı yazılım başlatıldıktan sonra C2 ile bir bağlantı kurar ve ilerlemek için saldırgan tarafından kontrol edilen e-posta adreslerinin bir listesini almak için bir süre bekler, diye ekliyor.
Rapor, kuruluşun, Facebook işletme hesaplarına erişimi olan kullanıcıları hedef alan hedefli kimlik avı dolandırıcılığına ilişkin farkındalığı artırmakla başlayarak Ördek Kuyruğu benzeri saldırı kampanyalarına maruz kalmayı azaltmak için atabileceği birkaç adımı listeliyor.
Kuruluşlar ayrıca, bilinmeyen yürütülebilir dosyaların çalışmasını önlemek için uygulama beyaz listesini zorunlu kılmalı, şirket Facebook hesaplarıyla kullanılan tüm yönetilen veya kişisel cihazların temel hijyen ve korumaya sahip olmasını sağlamalı ve Facebook Business hesaplarına erişirken her iş oturumunun kimliğini doğrulamak için özel göz atmayı kullanmalıdır.