La campagne de logiciels malveillants DUCKTAIL ciblant les comptes professionnels et publicitaires de Facebook est de retour

by Posted on

Un groupe d’attaquants, probablement basé au Vietnam, qui se spécialise dans le ciblage des employés ayant un accès potentiel aux comptes d’entreprise et de gestion des publicités de Facebook, a réapparu avec des changements d’infrastructure, des logiciels malveillants et son mode opératoire après avoir disparu il y a quelques mois.

Surnommé DUCKTAIL par les chercheurs de WithSecure, le groupe utilise le spear phishing pour cibler des individus sur LinkedIn avec des descriptions de poste pouvant suggérer qu’ils ont accès à la gestion de comptes professionnels sur Facebook. Récemment, des attaquants ont également été observés ciblant des victimes via WhatsApp. Les comptes professionnels Facebook compromis sont utilisés pour diffuser des publicités sur la plate-forme pour le gain financier des attaquants.

Les attaquants de DUCKTAIL font leurs recherches

L’abus de compte est réalisé en utilisant le navigateur de la victime via un programme malveillant fourni sous le couvert de documents liés aux marques, aux produits et à la planification de projet. Les attaquants établissent d’abord une liste d’entreprises avec des pages professionnelles sur Facebook. Ils recherchent ensuite des employés sur LinkedIn et d’autres sources qui travaillent pour ces entreprises et dont les intitulés de poste peuvent leur donner accès à des pages professionnelles. Cela comprend les rôles de gestion, de marketing numérique, de médias numériques et de ressources humaines.

La dernière étape consiste à leur envoyer un lien avec une archive contenant un logiciel malveillant se faisant passer pour un fichier .pdf, ainsi que des images et des vidéos qui semblent faire partie du même projet. Certains des noms de fichiers trouvés par les chercheurs incluent le projet “plan de développement”, “informations sur le projet”, “produits” et “nouveau plan d’affaires budgétaire de L’Oréal”. Certains des fichiers incluent des noms de pays, suggérant que les attaquants les personnalisent pour chaque victime et pays en fonction de leur reconnaissance. Les victimes identifiées sont réparties dans le monde entier, de sorte que les attaquants ne ciblent pas une région spécifique.

On pense que le groupe DUCKTAIL mène cette campagne depuis le second semestre 2021. Après que WithSecure a exposé son opération en août de cette année, l’opération s’est arrêtée et les attaquants ont retravaillé certains de leurs outils.

Les attaquants sont passés à GlobalSign comme autorité de certification

Les échantillons de logiciels malveillants analysés plus tôt cette année ont été signés numériquement à l’aide d’un certificat de signature de code légitime obtenu auprès de Sectigo au nom d’une société vietnamienne. Depuis que ce certificat a été signalé et révoqué, les attaquants sont passés à GlobalSign comme autorité de certification. Alors qu’ils continuaient à demander des certificats à plusieurs autorités de certification au nom de la société d’origine, ils ont également créé six autres entreprises, toutes en vietnamien, et obtenu des certificats de signature de code en utilisant trois d’entre eux. Les certificats de signature de code nécessitent une validation étendue (EV) où l’identité du demandeur est vérifiée au moyen de divers documents.

“Au moment de la rédaction de cet article, l’acteur menaçant s’est adapté aux révocations de certificats en utilisant l’horodatage comme méthode de contre-signature via DigiCert”, ont déclaré les chercheurs de WithSecure dans un nouveau rapport publié cette semaine.

Les échantillons de logiciels malveillants DUCKTAIL détectés fin 2021 ont été écrits en .NET Core et compilés à l’aide de la fonctionnalité de fichier unique du framework, qui regroupe toutes les bibliothèques et tous les fichiers requis dans un seul fichier exécutable, y compris l’assembly principal. Cela garantit que le logiciel malveillant peut être exécuté sur n’importe quel ordinateur Windows, que le runtime .NET soit installé ou non. Depuis août 2022, date à laquelle la campagne s’est arrêtée, les chercheurs de WithSecure ont observé plusieurs échantillons de développement DUCKTAIL téléchargés sur VirusTotal depuis le Vietnam.

L’un des exemples a été compilé à l’aide de NativeAOT de .NET 7, qui fournit des fonctionnalités similaires à la fonctionnalité de fichier unique de .NET Core, permettant de compiler les fichiers binaires à l’avance. Cependant, NativeAOT a une prise en charge limitée des bibliothèques tierces, de sorte que les attaquants se rabattent sur .NET Core.

Les mauvais acteurs expérimentent déjà

D’autres expériences ont également été observées, telles que l’inclusion de code anti-analyse d’un projet GitHub qui n’a jamais été activé, la possibilité d’envoyer une liste d’adresses e-mail sous forme de fichier .txt à partir du serveur de commande et de contrôle à la place. de les coder en dur dans le logiciel malveillant et de lancer un fichier factice lorsque le logiciel malveillant est exécuté pour rendre l’utilisateur moins méfiant – des fichiers factices de document (.docx), de feuille de calcul (.xlsx) et de vidéo (.mp4) ont été observés.

Les attaquants essaient également des chargeurs à plusieurs étapes pour déployer des logiciels malveillants, tels qu’un fichier de complément Excel (.xll), qui extrait un chargeur secondaire d’un blob chiffré, puis télécharge la version finale du logiciel malveillant infostealer. Les chercheurs ont également identifié un téléchargeur écrit en .NET qu’ils ont lié avec une grande confiance à DUCKTAIL, qui exécute une commande PowerShell qui télécharge l’infostealer depuis Discord.

Le malware infostealer utilise les canaux Telegram pour la commande et le contrôle. Les attaquants ont mieux verrouillé ces canaux depuis leur apparition en août et certains canaux ont maintenant plusieurs administrateurs, ce qui pourrait suggérer qu’ils exécutent un programme d’affiliation similaire aux gangs de rançongiciels. “Cela est encore alimenté par l’augmentation de l’activité de chat et le nouveau mécanisme de cryptage de fichiers qui garantit que seuls certains utilisateurs peuvent décrypter certains fichiers exfiltrés”, ont déclaré les chercheurs.

Piratage de navigateur

Une fois déployé, le logiciel malveillant DUCKTAIL recherche les navigateurs installés sur le système et le chemin d’accès à leur stockage de cookies. Il vole ensuite tous les cookies stockés, y compris les cookies de session Facebook stockés en interne. Un cookie de session est un petit identifiant qu’un site Web définit dans un navigateur après avoir réussi l’authentification pour se rappeler que l’utilisateur est connecté depuis un certain temps.

Le logiciel malveillant utilise le cookie de session Facebook pour communiquer directement avec les pages Facebook ou pour envoyer des requêtes à l’API Facebook Graph afin d’obtenir des informations. Ces informations incluent le nom, l’adresse e-mail, la date de naissance et l’identifiant d’utilisateur pour les comptes personnels ; nom, statut de vérification, limite d’annonces, utilisateurs et clients en attente des pages professionnelles Facebook auxquelles les comptes personnels ont accès ; nom, identifiant, statut du compte, cycle de paiement des publicités, devise, adtrust DSL et montant dépensé pour tout compte Facebook Ads associé.

Le logiciel malveillant vérifie également si l’authentification à deux facteurs est activée pour les comptes piratés et utilise la session active pour obtenir des codes de sauvegarde pour 2FA lorsqu’il est activé. “Les informations volées sur la machine de la victime permettent également à l’auteur de la menace de tenter ces activités (ainsi que d’autres activités malveillantes) depuis l’extérieur de la machine de la victime”, ont déclaré les chercheurs. “Des informations telles que des cookies de session volés, des jetons d’accès, des codes 2FA, des agents utilisateurs, des adresses IP et la géolocalisation, ainsi que des informations générales sur le compte (telles que le nom et l’anniversaire) peuvent être utilisées pour masquer et se faire passer pour la victime”.

Le malware vise à essayer d’ajouter des adresses e-mail contrôlées par des attaquants aux comptes professionnels Facebook piratés avec les rôles les plus élevés possibles : administrateur et rédacteur financier. Selon la documentation du propriétaire de Facebook, Meta, les administrateurs ont un contrôle total sur le compte, tandis que les éditeurs financiers contrôlent les informations de carte de crédit stockées dans le compte ainsi que les transactions, les factures et les dépenses sur le compte. Ils peuvent également ajouter des entreprises externes aux cartes de crédit stockées et aux factures mensuelles permettant à ces entreprises d’utiliser le même mode de paiement.

Usurper l’identité des responsables de comptes légitimes

“Dans les cas où les victimes ciblées n’ont pas un accès suffisant pour permettre au logiciel malveillant d’ajouter les adresses e-mail de l’acteur de la menace aux comptes commerciaux prévus, l’acteur de la menace s’appuie sur les informations exfiltrées des machines et des comptes Facebook des victimes pour se faire passer pour eux et atteindre leur poste. -compromis avec des activités pratiques”, ont déclaré les chercheurs dans leur nouveau rapport.

Dans un cas sur lequel les intervenants en cas d’incident WithSecure ont enquêté, la victime a utilisé une machine Apple et ne s’est jamais connectée à Facebook à partir d’un ordinateur Windows. Aucun logiciel malveillant n’a été trouvé sur le système et le vecteur d’accès initial n’a pas pu être identifié. Il n’est pas clair si cela est lié à DUCKTAIL, mais les chercheurs ont établi que les attaquants venaient également du Vietnam.

Il est conseillé aux administrateurs de Facebook Business d’examiner régulièrement les utilisateurs ajoutés sous Business Manager > Paramètres > Personnes et de révoquer l’accès à tous les utilisateurs inconnus qui ont obtenu un accès administrateur ou des rôles d’éditeur financier.

“Tout au long de nos enquêtes, l’équipe WithSecure Incident Response a constaté que les journaux d’historique des activités et les données Facebook des individus ciblés étaient pertinents pour l’analyse des incidents”, ont déclaré les chercheurs. « Cependant, pour les journaux associés au compte Facebook d’un individu, des incohérences sont largement présentes entre ce qui est visible sur le portail Web et ce que vous obtenez si vous téléchargez une copie de vos données. En guise de recommandation aux autres enquêteurs, l’équipe WithSecure Incident Response recommande fortement d’obtenir une copie locale des journaux d’historique de l’entreprise dès que possible et de demander une copie des données de l’utilisateur pour son compte.

Copyright © 2022 IDG Communications, Inc.

Published by monctondjs.com

Leave a Reply

Your email address will not be published. Required fields are marked *