新發(fā)現(xiàn)的與越南威脅行為者相關(guān)的惡意軟件以用戶為目標(biāo)，通過LinkedIn網(wǎng)絡(luò)釣魚活動竊取數(shù)據(jù)和管理員權(quán)限以獲取經(jīng)濟(jì)利益。

一種新的惡意軟件正在通過針對LinkedIn帳戶的網(wǎng)絡(luò)釣魚活動劫持備受關(guān)注的Meta Facebook Business和廣告平臺帳戶。研究人員表示，這種名為Ducktail的惡意軟件使用來自經(jīng)過身份驗證的用戶會話的瀏覽器cookie來接管帳戶并竊取數(shù)據(jù)。

WithSecure（前身為F-Secure）的研究人員在周二發(fā)布的一份報告中寫道，他們發(fā)現(xiàn)了這場正在進(jìn)行的活動，這似乎是受經(jīng)濟(jì)驅(qū)動的越南威脅行為者所為。研究人員表示，該活動本身似乎至少自2021年下半年以來一直很活躍，而其背后的威脅行為者可能自2018年以來就一直在網(wǎng)絡(luò)犯罪現(xiàn)場。

研究人員在報告附帶的博客文章中寫道：“該惡意軟件旨在竊取瀏覽器cookie，并利用經(jīng)過身份驗證的Facebook會話從受害者的Facebook帳戶中竊取信息，并最終劫持受害者有權(quán)訪問的任何Facebook Business帳戶?！?/p>

Infosec內(nèi)部人士和Ducktail參與者有非常具體的目標(biāo)——即在Facebook的商業(yè)和廣告平臺上運營的公司中擁有高級賬戶訪問權(quán)限的個人，其中包括管理人員、數(shù)字營銷人員、數(shù)字媒體人員和人力資源管理人員

研究人員說：“這些策略將增加對手在不為人知的情況下?lián)p害不同F(xiàn)acebook業(yè)務(wù)的機(jī)會?！?/p>

研究人員報告說，為了滲透帳戶，攻擊者針對Linkedln用戶發(fā)起一場網(wǎng)絡(luò)釣魚活動，該活動使用與品牌、產(chǎn)品和項目規(guī)劃相關(guān)的關(guān)鍵字來引誘受害者下載包含惡意軟件可執(zhí)行文件以及相關(guān)圖像、文檔和視頻文件的存檔文件。

惡意軟件組件

研究人員深入研究了這種新型惡意軟件，在其最新樣本中，它專門用.NET Core進(jìn)行了編寫，并通過其單文件功能進(jìn)行編譯。這“在惡意軟件中是不常見的”，他們指出。

一旦感染系統(tǒng)，Ducktail就會使用六個關(guān)鍵組件進(jìn)行操作。研究人員表示，它首先創(chuàng)建互斥鎖并檢查，以確保在任何給定時間只有一個惡意軟件實例在運行。

數(shù)據(jù)存儲組件將被盜數(shù)據(jù)存儲并加載到臨時文件夾中的文本文件中，而瀏覽器掃描功能可以掃描已安裝的瀏覽器從而識別cookie路徑以供日后盜竊。

研究人員說，Ducktail還有兩個組件專門用于從受害者那里竊取信息，一個是通用的，竊取與Facebook無關(guān)的信息，另一個是竊取與Facebook商業(yè)和廣告賬戶相關(guān)的信息，并劫持這些賬戶。

第一個通用信息竊取組件會掃描受感染機(jī)器上的Google Chrome、Microsoft Edge、Brave瀏覽器或Firefox，并且提取所有存儲的cookie，包括任何Facebook會話cookie。

研究人員說，Ducktail的組件專用于從臉書商業(yè)/廣告賬戶中提取數(shù)據(jù)，直接與各種臉書端點進(jìn)行交互——無論是直接的臉書頁面還是API端點——使用被盜的臉書會話cookie從受害者的機(jī)器中進(jìn)行交互。他們說，它還從cookie中獲取其他安全憑證，以從受害者的Facebook帳戶中提取信息。

惡意軟件從Facebook竊取的具體信息包括：安全憑證、個人帳戶識別信息、業(yè)務(wù)詳細(xì)信息和廣告帳戶信息。

研究人員表示，Ducktail還允許威脅行為者對Facebook商業(yè)帳戶進(jìn)行完全管理控制，這可以讓他們訪問用戶的信用卡或其他交易數(shù)據(jù)以獲取經(jīng)濟(jì)利益。

Telegram C&C和其他逃避技巧

研究人員說，Ducktail的最后一個組件將數(shù)據(jù)泄露到Telegram頻道，用作威脅參與者的指揮和控制（C&C）。研究人員說，這允許攻擊者通過限制從C&C發(fā)送到受害者機(jī)器的命令來逃避檢測。

此外，研究人員表示，該惡意軟件不會在機(jī)器上建立持久性，這也意味著它可以在不提醒用戶或標(biāo)記Facebook安全性的情況下進(jìn)入并執(zhí)行入侵活動。然而，他們說，威脅參與者觀察到的不同版本的Ducktail以多種不同方式表現(xiàn)出這種持久性的缺乏。

研究人員寫道：“舊版本的惡意軟件只是簡單地執(zhí)行，完成了它們的設(shè)計目標(biāo)，然后退出?！薄拜^新的版本在后臺運行無限循環(huán)，定期執(zhí)行滲透活動。”

Ducktail還具有Facebook數(shù)據(jù)竊取組件的固有功能，該組件旨在通過向似乎是來自受害者的Facebook實體發(fā)出任何數(shù)據(jù)請求。研究人員表示，這將使這些行為看起來對Meta安全無害。攻擊者還可以使用諸如被盜會話cookie、訪問令牌、2FA代碼、用戶代理、IP地址和地理位置以及一般帳戶信息等信息來偽裝和冒充受害者。

本文翻譯自：https://threatpost.com/malware-hijacks-facebook/180285/