Les comptes commerciaux et publicitaires de Facebook sont les destinataires d’une campagne en cours baptisée Queue de canard conçu pour prendre le contrôle dans le cadre d’une opération cybercriminelle à motivation financière.
« L’acteur de la menace cible les individus et les employés susceptibles d’avoir accès à un compte Facebook Business avec un malware voleur d’informations », a déclaré la société finlandaise de cybersécurité WithSecure (anciennement F-Secure Business). a dit dans un nouveau rapport.
« Le logiciel malveillant est conçu pour voler les cookies du navigateur et tirer parti des sessions Facebook authentifiées pour voler des informations sur le compte Facebook de la victime et finalement détourner tout compte Facebook Business auquel la victime a un accès suffisant. »
Les attaques, attribuées à un acteur menaçant vietnamien, auraient commencé dans la seconde moitié de 2021, les principales cibles étant des personnes occupant des postes de direction, de marketing numérique, de médias numériques et de ressources humaines dans des entreprises.
L’idée est de cibler les employés ayant un accès de haut niveau aux comptes Facebook Business associés à leurs organisations, en les incitant à télécharger de supposées informations publicitaires Facebook hébergées sur Dropbox, Apple iCloud et MediaFire.
Dans certains cas, le fichier d’archive contenant la charge utile malveillante est également transmis aux victimes via LinkedIn, permettant finalement à l’attaquant de prendre le contrôle de n’importe quel compte Facebook Business.
Un malware voleur d’informations écrit en .NET Core, le binaire est conçu pour utiliser Telegram pour la commande et le contrôle et l’exfiltration de données. WithSecure a déclaré avoir identifié huit canaux Telegram qui ont été utilisés à cette fin.
Il fonctionne en recherchant les navigateurs installés tels que Google Chrome, Microsoft Edge, Brave Browser et Mozilla Firefox pour extraire tous les cookies stockés et les jetons d’accès, en plus de voler des informations du compte Facebook personnel de la victime telles que le nom, l’adresse e-mail, la date de naissance. , et ID utilisateur.
Sont également pillées les données des entreprises et des comptes publicitaires connectés au compte personnel de la victime, permettant à l’adversaire de détourner les comptes en ajoutant une adresse e-mail contrôlée par l’acteur récupérée sur la chaîne Telegram et de s’octroyer Rédacteur Administratif et Financier accéder.
Alors que les utilisateurs avec des rôles d’administrateur ont un contrôle total sur le compte Facebook Business, les utilisateurs avec des autorisations d’éditeur Finance peuvent modifier les informations de carte de crédit professionnelles et les détails financiers tels que les transactions, les factures, les dépenses du compte et les méthodes de paiement.
Les données de télémétrie recueillies par WithSecure montrent un modèle de ciblage mondial couvrant un certain nombre de pays, dont les Philippines, l’Inde, l’Arabie saoudite, l’Italie, l’Allemagne, la Suède et la Finlande.
Cela dit, la société a noté qu’elle était « incapable de déterminer le succès ou l’absence de succès » de la campagne Ducktail, ajoutant qu’elle ne pouvait pas déterminer le nombre d’utilisateurs potentiellement touchés.
Il est conseillé aux administrateurs de Facebook Business de revoir leurs autorisations d’accès et supprimez tous les utilisateurs inconnus pour sécuriser les comptes.
Les résultats sont un autre indicateur de la façon dont les acteurs malveillants misent de plus en plus sur des applications de messagerie légitimes telles que Discord et Telegram, abusant de leurs fonctionnalités d’automatisation pour propager des logiciels malveillants ou atteindre leurs objectifs opérationnels.
« Utilisés principalement en conjonction avec des voleurs d’informations, les cybercriminels ont trouvé des moyens d’utiliser ces plates-formes pour héberger, distribuer et exécuter diverses fonctions qui leur permettent finalement de voler des informations d’identification ou d’autres informations à des utilisateurs peu méfiants », Intel 471 a dit Mardi.