Η ομάδα hacking Ducktail στοχεύει Facebook Business Accounts με malvertising.
Κακόβουλοι δράστες που συνδέονται με τον βιετναμέζικο κυβερνο-εγκληματικό κόσμο εκμεταλλεύονται τη διαφήμιση ως διανύσμα διανομής κακόβουλου λογισμικού σε κοινωνικά μέσα κοινωνικής δικτύωσης όπως το Facebook, το οποίο ανήκει στη Meta.
Δείτε επίσης: Microsoft: Τα Windows θα απενεργοποιήσουν σύντομα το ανασφαλές TLS
Οι κυβερνοεπιθέσεις που στοχεύουν στους λογαριασμούς Meta Business και Facebook έχουν γίνει δημοφιλείς τον τελευταίο χρόνο, χάρη σε ομάδες hacking όπως οι Ducktail και NodeStealer, που είναι γνωστές για τις επιθέσεις που διαπράττουν εναντίον επιχειρήσεων και ατόμων που λειτουργούν στο Facebook.
Μεταξύ των μεθόδων που χρησιμοποιούνται από τους χάκερ για να αποκτήσουν μη εξουσιοδοτημένη πρόσβαση σε λογαριασμούς χρηστών, το social engineering παίζει σημαντικό ρόλο.
Τα θύματα προσεγγίζονται μέσω διαφόρων πλατφορμών που κυμαίνονται από το Facebook και το LinkedIn έως το WhatsApp και από πύλες εργασίας ανεξάρτητων επαγγελματιών όπως το Upwork. Ένας άλλος γνωστός μηχανισμός διανομής είναι η χρήση δηλητηρίασης από τις μηχανές αναζήτησης για την ενίσχυση ψευδούς λογισμικού όπως το CapCut, το Notepad++, το OpenAI ChatGPT, το Google Bard και το Meta Threads.
Ένα στοιχείο που είναι κοινό σε αυτές τις ομάδες είναι η κατάχρηση υπηρεσιών συντόμευσης URL, του Telegram για τον έλεγχο και τη διαχείριση (C2), καθώς και νόμιμων υπηρεσιών στο cloud, όπως Trello, Discord, Dropbox, iCloud, OneDrive και Mediafire για τη φιλοξενία των κακόβουλων φορτίων.
Η ομάδα hacking Ducktail, για παράδειγμα, εκμεταλλεύεται δολώματα που σχετίζονται με το brand και τα εμπορικά έργα για να διεισδύσουν σε άτομα και επιχειρήσεις που λειτουργούν στην επιχειρηματική πλατφόρμα της Meta, με νέα κύματα επιθέσεων που χρησιμοποιούν θέματα σχετικά με εργασία και πρόσληψη για να ενεργοποιήσουν την μόλυνση.
Δείτε επίσης: Τέσσερις άνδρες κατηγορούνται για επενδυτική απάτη που οδήγησε σε απώλεια $ 18 εκατομμυρίων
Σε αυτές τις επιθέσεις, οι πιθανοί στόχοι κατευθύνονται σε ψεύτικες αναρτήσεις στο Upwork και Freelancer μέσω διαφημίσεων στο Facebook ή μηνυμάτων InMail στο LinkedIn, τα οποία περιέχουν ένα σύνδεσμο προς ένα “παγίδευμένο” αρχείο περιγραφής θέσης εργασίας που φιλοξενείται σε έναν από τους προαναφερθέντες παρόχους αποθήκευσης στο cloud, οδηγώντας τελικά στην εγκατάσταση του κακόβουλου λογισμικού Ducktail stealer.
Επιλεγμένα infection sequences που παρατηρήθηκαν μεταξύ Φεβρουαρίου και Μαρτίου 2023 εμπλέκουν τη χρήση συντομεύσεων και αρχείων PowerShell για το κατέβασμα και την εκκίνηση του final malware, καθιστώντας εμφανή τη συνεχή εξέλιξη των τακτικών των επιτιθέμενων.
Η πειραματιστική προσέγγιση επεκτείνεται και στον stealer, ο οποίος έχει ενημερωθεί για να συλλέγει προσωπικές πληροφορίες των χρηστών από το X (πρώην Twitter), το TikTok Business και τα Google Ads, καθώς και να εκμεταλλεύεται τα κλεμμένα session cookies του Facebook για να δημιουργεί ψεύτικες διαφημίσεις αυτοματοποιημένα και να αποκτά αυξημένα προνόμια για να πραγματοποιεί άλλες ενέργειες.
Ένας κύριος τρόπος που χρησιμοποιείται για να αποκτηθεί έλεγχος επί του λογαριασμού ενός θύματος είναι να προστεθεί η δική τους διεύθυνση ηλεκτρονικού ταχυδρομείου σε αυτόν τον λογαριασμό, αλλάζοντας στη συνέχεια τον κωδικό πρόσβασης και τη διεύθυνση ηλεκτρονικού ταχυδρομείου του λογαριασμού Facebook του θύματος για να τους κλειδώσει έξω από την υπηρεσία.
Επιπλέον, το τελικό payload αποκρύπτεται χρησιμοποιώντας έναν loader για να αποκρυπτογραφήσει και να το εκτελέσει δυναμικά κατά τη διάρκεια της εκτέλεσης, σε ό,τι θεωρείται μια προσπάθεια να ενσωματωθούν τεχνικές που στοχεύουν στην αύξηση της πολυπλοκότητας ανάλυσης και της αποφυγής ανίχνευσης.
Κάποιες από τις μεθόδους που χρησιμοποιεί ο δράστης για να δυσκολέψει την ανάλυση περιλαμβάνουν τη χρήση μοναδικά δημιουργημένων ονομάτων assembly και την εξάρτηση από το SmartAssembly, την προσθήκη περιττού κώδικα και τη συμπίεση για να αποκρύψει το κακόβουλο λογισμικό.
Η Zscaler ανέφερε ότι εντόπισε περιπτώσεις όπου η ομάδα επικοινωνούσε μέσω παραβιασμένων λογαριασμών στο LinkedIn που ανήκαν σε χρήστες που εργάζονταν στον χώρο του ψηφιακού μάρκετινγκ, μερικοί από τους οποίους είχαν πάνω από 500 συνδέσεις και 1.000 ακόλουθους.
Αυτό τονίζει επίσης τη διάδοση του Ducktail που μοιάζει με worm, όπου τα διαπιστευτήρια και τα cookies του LinkedIn που κλάπηκαν από έναν χρήστη που έπεσε θύμα της κακόβουλης επίθεσης χρησιμοποιούνται για να συνδεθούν στους λογαριασμούς τους και να επικοινωνήσουν με άλλους στόχους και να διευρύνουν το πεδίο επιρροής τους.
Δείτε επίσης: Chrome extension κλέβει κωδικούς πρόσβασης από ιστότοπους
Η ομάδα hacking Ducktail θεωρείται ότι είναι ένας από τους πολλούς κακόβουλους φορείς στο Βιετνάμ, οι οποίοι εκμεταλλεύονται κοινές εργαλειοθήκες και τακτικές για να πραγματοποιήσουν τέτοια απάτη. Αυτό περιλαμβάνει και έναν αντίγραφο του Ducktail με το όνομα Duckport, το οποίο είναι ενεργό από τα τέλη του Μαρτίου του 2023 και εκτελεί κλοπή πληροφοριών, καθώς και απάτη σε λογαριασμούς επιχειρήσεων Meta.
Αξίζει να επισημανθεί ότι η καμπάνια που η Zscaler παρακολουθεί με το όνομα Ducktail στην πραγματικότητα ονομάζεται Duckport, και σύμφωνα με την WithSecure αποτελεί ξεχωριστή απειλή λόγω των διαφορών στα κανάλια του Telegram που χρησιμοποιούνται για τον έλεγχο και στην υλοποίηση του πηγαίου κώδικα, καθώς και του γεγονότος ότι τα δύο στελέχη δεν έχουν διανεμηθεί ποτέ μαζί.
Το Duckport, παρά την βάση της στο Ducktail, περιλαμβάνει επίσης νέα χαρακτηριστικά που επεκτείνονται στις δυνατότητες κλοπής πληροφοριών και απόκτησης ελέγχου των λογαριασμών, καθώς και λήψη screenshot ή κατάχρηση υπηρεσιών λήψης σημειώσεων στο διαδίκτυο ως μέρος της αλυσίδας C2, αντικαθιστώντας ουσιαστικά το Telegram ως κανάλι για την μετάδοση εντολών στον υπολογιστή του θύματος.
Πηγή πληροφοριών: thehackernews.com
