针对 Facebook 业务和广告帐户的新 Ducktail Infostealer 恶意软件

Facebook 的商业和广告账户正处于正在进行的名为Ducktail的活动的接收端，该活动旨在作为财务驱动的网络犯罪活动的一部分夺取控制权。

芬兰网络安全公司 WithSecure（前身为 F-Secure Business）在一份新报告中表示： “威胁行为者的目标是可能使用信息窃取恶意软件访问 Facebook Business 帐户的个人和员工。”

“该恶意软件旨在窃取浏览器 cookie，并利用经过身份验证的 Facebook 会话从受害者的 Facebook 帐户中窃取信息，并最终劫持受害者有权访问的任何 Facebook 业务帐户。”

这些攻击归因于越南威胁行为者，据说于 2021 年下半年开始，主要目标是在公司中担任管理、数字营销、数字媒体和人力资源角色的个人。

这个想法是针对对其组织关联的 Facebook Business 帐户具有高级访问权限的员工，诱使他们下载托管在 Dropbox、Apple iCloud 和 MediaFire 上的所谓 Facebook 广告信息。

在某些情况下，包含恶意负载的存档文件也会通过 LinkedIn 传递给受害者，最终允许攻击者接管任何 Facebook Business 帐户。

该二进制文件是一种用 .NET Core 编写的信息窃取恶意软件，旨在使用 Telegram 进行命令和控制以及数据泄露。WithSecure 表示，它确定了八个用于此目的的 Telegram 频道。

它通过扫描已安装的浏览器（例如 Google Chrome、Microsoft Edge、Brave 浏览器和 Mozilla Firefox）来提取所有存储的 cookie 和访问令牌，同时从受害者的个人 Facebook 帐户中窃取信息，例如姓名、电子邮件地址、出生日期, 和用户 ID。

还掠夺了与受害者个人账户相关联的企业和广告账户的数据，允许攻击者通过添加从 Telegram 频道检索到的参与者控制的电子邮件地址来劫持账户，并授予自己管理员和财务编辑访问权限。

虽然具有管理员角色的用户可以完全控制 Facebook Business 帐户，但具有财务编辑权限的用户可以编辑商业信用卡信息和财务详细信息，例如交易、发票、帐户支出和付款方式。

WithSecure 收集的遥测数据显示了跨越多个国家的全球目标模式，包括菲律宾、印度、沙特阿拉伯、意大利、德国、瑞典和芬兰。

尽管如此，该公司指出它“无法确定 Ducktail 活动是否成功”，并补充说它无法确定有多少用户可能受到影响。

建议 Facebook Business 管理员检查其访问权限并删除任何未知用户以保护帐户。

这些发现是另一个指标，表明不良行为者如何越来越多地依赖于 Discord 和 Telegram 等合法消息传递应用程序，滥用其自动化功能来传播恶意软件或实现其运营目标。

“主要与信息窃取者一起使用，网络犯罪分子已经找到了使用这些平台来托管、分发和执行各种功能的方法，最终使他们能够从毫无戒心的用户那里窃取凭据或其他信息，”英特尔 471周二表示。