新型恶意软件可劫持 Facebook 企业帐户

新发现的与越南威胁行为者相关的恶意软件以用户为目标，通过LinkedIn网络钓鱼活动窃取数据和管理员权限以获取经济利益。

一种新的恶意软件正在通过针对LinkedIn帐户的网络钓鱼活动劫持备受关注的Meta Facebook Business和广告平台帐户。研究人员表示，这种名为Ducktail的恶意软件使用来自经过身份验证的用户会话的浏览器cookie来接管帐户并窃取数据。

WithSecure（前身为F-Secure）的研究人员在周二发布的一份报告中写道，他们发现了这场正在进行的活动，这似乎是受经济驱动的越南威胁行为者所为。研究人员表示，该活动本身似乎至少自2021年下半年以来一直很活跃，而其背后的威胁行为者可能自2018年以来就一直在网络犯罪现场。

研究人员在报告附带的博客文章中写道：“该恶意软件旨在窃取浏览器cookie，并利用经过身份验证的Facebook会话从受害者的Facebook帐户中窃取信息，并最终劫持受害者有权访问的任何Facebook Business帐户。”

Infosec内部人士和Ducktail参与者有非常具体的目标——即在Facebook的商业和广告平台上运营的公司中拥有高级账户访问权限的个人，其中包括管理人员、数字营销人员、数字媒体人员和人力资源管理人员
研究人员说：“这些策略将增加对手在不为人知的情况下损害不同Facebook业务的机会。”

研究人员报告说，为了渗透帐户，攻击者针对Linkedln用户发起一场网络钓鱼活动，该活动使用与品牌、产品和项目规划相关的关键字来引诱受害者下载包含恶意软件可执行文件以及相关图像、文档和视频文件的存档文件。

恶意软件组件

研究人员深入研究了这种新型恶意软件，在其最新样本中，它专门用.NET Core进行了编写，并通过其单文件功能进行编译。这“在恶意软件中是不常见的”，他们指出。

一旦感染系统，Ducktail就会使用六个关键组件进行操作。研究人员表示，它首先创建互斥锁并检查，以确保在任何给定时间只有一个恶意软件实例在运行。

数据存储组件将被盗数据存储并加载到临时文件夹中的文本文件中，而浏览器扫描功能可以扫描已安装的浏览器从而识别cookie路径以供日后盗窃。

研究人员说，Ducktail还有两个组件专门用于从受害者那里窃取信息，一个是通用的，窃取与Facebook无关的信息，另一个是窃取与Facebook商业和广告账户相关的信息，并劫持这些账户。

第一个通用信息窃取组件会扫描受感染机器上的Google Chrome、Microsoft Edge、Brave浏览器或Firefox，并且提取所有存储的cookie，包括任何Facebook会话cookie。

研究人员说，Ducktail的组件专用于从脸书商业/广告账户中提取数据，直接与各种脸书端点进行交互——无论是直接的脸书页面还是API端点——使用被盗的脸书会话cookie从受害者的机器中进行交互。他们说，它还从cookie中获取其他安全凭证，以从受害者的Facebook帐户中提取信息。

恶意软件从Facebook窃取的具体信息包括：安全凭证、个人帐户识别信息、业务详细信息和广告帐户信息。

研究人员表示，Ducktail还允许威胁行为者对Facebook商业帐户进行完全管理控制，这可以让他们访问用户的信用卡或其他交易数据以获取经济利益。

Telegram C&C和其他逃避技巧

研究人员说，Ducktail的最后一个组件将数据泄露到Telegram频道，用作威胁参与者的指挥和控制（C&C）。研究人员说，这允许攻击者通过限制从C&C发送到受害者机器的命令来逃避检测。

此外，研究人员表示，该恶意软件不会在机器上建立持久性，这也意味着它可以在不提醒用户或标记Facebook安全性的情况下进入并执行入侵活动。然而，他们说，威胁参与者观察到的不同版本的Ducktail以多种不同方式表现出这种持久性的缺乏。

研究人员写道：“旧版本的恶意软件只是简单地执行，完成了它们的设计目标，然后退出。”“较新的版本在后台运行无限循环，定期执行渗透活动。”

Ducktail还具有Facebook数据窃取组件的固有功能，该组件旨在通过向似乎是来自受害者的Facebook实体发出任何数据请求。研究人员表示，这将使这些行为看起来对Meta安全无害。攻击者还可以使用诸如被盗会话cookie、访问令牌、2FA代码、用户代理、IP地址和地理位置以及一般帐户信息等信息来伪装和冒充受害者。