Les cyberattaquants Ducktail ajoutent WhatsApp à la chaîne d’attaques commerciales de Facebook

Un acteur menaçant à motivation financière ciblant des individus et des organisations sur la plateforme Ads and Business de Facebook a repris ses activités après une courte interruption, avec un nouveau sac d’astuces pour détourner des comptes et en tirer de l’argent.

La campagne de menace basée au Vietnam, baptisée Ducktail, est active depuis mai 2021 et a touché les utilisateurs disposant de comptes professionnels Facebook aux États-Unis et dans plus de trois douzaines d’autres pays. Les chercheurs en sécurité de WithSecure (anciennement F-Secure) surveillant Ducktail ont estimé que l’objectif principal de l’acteur de la menace était de diffuser frauduleusement des publicités via des comptes professionnels Facebook où ils ont réussi à prendre le contrôle.

Changer de tactique

WithSecure a repéré l’activité de Ducktail plus tôt cette année et a révélé les détails de sa tactique et de sa stratégie dans un article de blog en juillet. La divulgation a forcé les opérateurs de Ducktail à suspendre temporairement leurs opérations pendant qu’ils élaboraient de nouvelles méthodes pour poursuivre leur campagne.

En septembre, Ducktail a refait surface avec des changements dans son fonctionnement et dans ses mécanismes pour éviter la détection. Loin de ralentir, le groupe semble étendre ses opérations, en intégrant plusieurs groupes affiliés dans sa campagne, a déclaré WithSecure dans un nov. 22.

En plus d’utiliser LinkedIn comme moyen pour les cibles de harponnage, comme elle l’a fait dans les campagnes précédentes, l’équipe de Ducktail a maintenant commencé à utiliser WhatsApp pour cibler également les utilisateurs. Le groupe a également modifié ses capacités de vol d’informations de base et a adopté un nouveau format de fichier pour éviter la détection. Au cours des deux ou trois derniers mois, Ducktail a également enregistré plusieurs sociétés frauduleuses au Vietnam, qui semblent être une couverture pour obtenir des certificats numériques pour signer son logiciel malveillant.

“Nous pensons que l’opération Ducktail utilise l’accès à un compte professionnel détourné uniquement pour gagner de l’argent en diffusant des publicités frauduleuses”, a déclaré Mohammad Kazem Hassan Nejad, chercheur chez WithSecure Intelligence.

Dans les situations où l’auteur de la menace accède au rôle d’éditeur financier sur un compte professionnel Facebook compromis, il a également la possibilité de modifier les informations de carte de crédit et les détails financiers de l’entreprise, tels que les transactions, les factures, les comptes de dépenses et les méthodes de paiement, Nejad a dit. Cela permettrait à l’auteur de la menace d’ajouter d’autres entreprises à la carte de crédit et aux factures mensuelles, et d’utiliser les méthodes de paiement liées pour diffuser des publicités.

“L’entreprise détournée peut donc être utilisée à des fins telles que la publicité, la fraude ou même pour diffuser de la désinformation”, a déclaré Nejad. “Un acteur malveillant peut également utiliser son nouvel accès pour faire chanter une entreprise en l’excluant de sa propre page.”

Attaques ciblées

La tactique des opérateurs Ducktail consiste à identifier d’abord les organisations avec des comptes Facebook Business ou Ads, puis à cibler les individus au sein de ces entreprises qui, selon eux, ont un niveau élevé d’accès au compte. Les personnes généralement ciblées par le groupe comprennent les personnes occupant des postes de direction ou des rôles dans le marketing numérique, les médias numériques et les ressources humaines.

La chaîne d’attaque commence lorsque l’auteur de la menace envoie à l’individu ciblé un leurre de harponnage via LinkedIn ou WhatsApp. Les utilisateurs qui tombent dans le leurre finissent par avoir le voleur d’informations Ducktail installé sur leur système. Le logiciel malveillant peut remplir plusieurs fonctions, notamment extraire tous les cookies de navigateur stockés et les cookies de session Facebook de la machine de la victime, des données de registre spécifiques, des jetons de sécurité Facebook et des informations de compte Facebook.

Le malware vole un large éventail d’informations sur toutes les entreprises associées au compte Facebook, y compris le nom, les statistiques de vérification, les limites de dépenses publicitaires, les rôles, le lien d’invitation, l’ID client, les autorisations sur le compte publicitaire, les tâches autorisées et le statut d’accès. Le logiciel malveillant collecte des informations similaires sur tous les comptes publicitaires associés au compte Facebook compromis.

Le voleur d’informations peut “voler des informations sur le compte Facebook de la victime et détourner tout compte Facebook Business auquel la victime a un accès suffisant en ajoutant des adresses e-mail contrôlées par l’attaquant au compte professionnel avec des privilèges d’administrateur et des rôles d’éditeur financier”, a déclaré Nejad. L’ajout d’une adresse e-mail à un compte Facebook Business incitera Facebook à envoyer un lien par e-mail à cette adresse – qui, dans ce cas, est contrôlée par l’attaquant. Un acteur malveillant utilise ce lien pour accéder au compte, selon WithSecure.

Les auteurs de menaces disposant d’un accès administrateur au compte Facebook de la victime peuvent faire beaucoup de dégâts, notamment en prenant le contrôle total du compte professionnel ; afficher et modifier les paramètres, les personnes et les détails du compte ; et même en supprimant purement et simplement le profil de l’entreprise, a déclaré Nejad. Lorsqu’une victime ciblée peut ne pas avoir un accès suffisant pour permettre au logiciel malveillant d’ajouter les adresses e-mail de l’acteur de la menace, l’acteur de la menace s’appuie sur les informations exfiltrées des machines et des comptes Facebook des victimes pour les imiter.

Construire des logiciels malveillants plus intelligents

Nejad a déclaré que les versions antérieures du voleur d’informations Ducktail contenaient une liste codée en dur d’adresses e-mail à utiliser pour détourner des comptes professionnels.

“Cependant, lors de la récente campagne, nous avons observé un acteur malveillant supprimant cette fonctionnalité et s’appuyant fortement sur l’obtention d’adresses e-mail directement à partir de son canal de commande et de contrôle (C2)”, hébergé sur Telegram, explique le chercheur. Au lancement, le logiciel malveillant établit une connexion avec C2 et attend un certain temps avant de recevoir une liste d’adresses e-mail contrôlées par l’attaquant pour continuer, a-t-il ajouté.

Le rapport énumère plusieurs mesures que les organisations peuvent prendre pour réduire l’exposition aux campagnes d’attaques de type Ducktail, en commençant par sensibiliser aux escroqueries de harponnage qui ciblent les utilisateurs ayant accès aux comptes professionnels Facebook.

Les organisations doivent également mettre en place une liste blanche d’applications pour empêcher l’exécution d’exécutables inconnus, s’assurer que tous les appareils gérés ou personnels utilisés avec les comptes Facebook de l’entreprise bénéficient d’une hygiène et d’une protection de base, et utiliser la navigation privée pour authentifier chaque session de travail lors de l’accès aux comptes Facebook Business.

Leave a Reply

Your email address will not be published. Required fields are marked *