Infostealer 恶意软件以 Facebook 企业帐户为目标以捕获敏感数据

WithSecure Intelligence 表示，Ducktail 恶意软件试图劫持使用 Facebook 商业和广告平台的个人的账户。

图片：土坯股票

社交媒体是网络犯罪分子喜欢利用来攻击受害者的领域之一。作为最受欢迎的社交网络之一，Facebook 经常成为恶意软件活动的目标。网络安全提供商 WithSecure Intelligence 分析的一种新攻击针对 Facebook 商业用户，目的是窃取他们的敏感数据并接管他们的账户。

Ducktail 如何攻击企业？

使用 Facebook 的Meta Business Suite，组织可以指定特定的员工与客户沟通，讨论他们的产品和服务，并制作在 Facebook 上运行的广告。在名为 Ducktail 的恶意活动中，网络犯罪分子寻找使用 Facebook 商业/广告平台的公司，然后瞄准公司内可能对商业帐户具有高级访问权限的人员。据WithSecure称，在此次活动中挑选出来的员工包括管理、数字营销、数字媒体和人力资源部门的员工。下一步，攻击者将恶意软件部署给潜在的受害者，这些恶意软件有时通过 LinkedIn 交付，通常托管在 Dropbox 和 iCloud 等基于云的服务上。恶意软件本身被打包为包含文档、图像和视频的存档文件。这些文件名为“项目开发计划”和“项目信息”，旨在诱使人们打开它们并启动恶意软件。

安装后，恶意软件会扫描以下任何浏览器：Google Chrome、Microsoft Edge、Brave 和 Firefox。对于每个浏览器，Ducktail 都会提取所有存储的 cookie，包括 Facebook 会话的任何 cookie。然后，恶意软件使用该 cookie 连接不同的 Facebook 端点以从用户的 Facebook 帐户中获取信息。

对于个人 Facebook 帐户，该恶意软件旨在获取用户的姓名、电子邮件地址、生日和用户 ID。对于企业帐户，它会查找客户的名称、验证状态、广告帐户限制、所有者、角色和名称。对于关联的 Facebook 广告帐户，它会查找名称、ID、帐户状态、付款周期、货币和花费金额。

最终，网络犯罪分子在受害者的 Facebook 业务帐户上赋予自己管理员和财务编辑的角色。实现这一目标后，他们可以完全控制账户，以及访问和修改信用卡信息、交易、发票和付款方式。

网络安全公司 Cerberus Sentinel 解决方案架构副总裁 Chris Clements 表示：“随着企业对传统勒索软件攻击的意识和弹性越来越强，网络犯罪分子将寻找新的方法将成功的网络攻击转化为不义之财。” “从历史上看，我们已经看到对社交媒体账户的类似攻击，例如 2020 年 7 月的 Twitter 黑客攻击……但针对 Facebook 商业账户的定向方法是一个新的有趣的角度。与之前通过发布指向诈骗或恶意软件的链接而迅速暴露自己的社交媒体劫持相比，此活动更加隐蔽，旨在修改广告支出或引入广告欺诈。”

保护企业免受这种新恶意软件的侵害

为保护组织免受此类社交媒体驱动的威胁，WithSecure 提供以下建议：

• 转向端点检测和响应工具：EDR 工具可以分析攻击的每个阶段，从而生成有关单个事件的信息，以帮助您检测和缓解它。
• 保护端点：一个好的端点保护和安全工具可以跨您的内部和外部网络和设备检测恶意软件。确保启用实时保护，但还要在端点上运行完全手动扫描。
• 查看 Facebook 业务用户：登录您的 Facebook 业务管理员页面以查看所有已添加的用户。选择 Business Manager，转到设置，然后选择人员。然后，您可以撤销任何被授予管理员访问权限的未知用户的访问权限。

网络安全公司 KnowBe4 的数据驱动防御布道者 Roger Grimes 表示：“几乎每个组织都可以更好地改进其网络安全防御计划，如果他们更多地关注降低社会工程妥协的可能性。” “每个组织都应该看看他们可以在他们的纵深防御计划（例如，政策、技术防御和教育）中改进什么，以击败社会工程。正是因为几乎没有组织适当地集中必要的资源和培训来对抗社会工程，黑客和恶意软件 [能够] 取得如此长期的成功。”