新型恶意软件劫持 Facebook 企业帐户

新发现的与越南威胁行为者相关的恶意软件通过 LinkedIn 网络钓鱼活动以用户为目标，窃取数据和管理员权限以获取经济利益。

一种新的恶意软件正在通过针对 LinkedIn 帐户的网络钓鱼活动劫持备受瞩目的 Meta Facebook Business 和广告平台帐户。研究人员表示，这种名为 Ducktail 的恶意软件使用来自经过身份验证的用户会话的浏览器 cookie 来接管帐户并窃取数据。

WithSecure（前身为 F-Secure）的研究人员在周二发布的一份报告中写道，他们发现了正在进行的活动，这似乎是受经济驱动的越南威胁行为者的工作。研究人员表示，该活动本身似乎至少自 2021 年下半年以来一直很活跃，而其背后的威胁行为者可能自 2018 年以来一直在网络犯罪现场。

研究人员在报告随附的博客文章中写道：“该恶意软件旨在窃取浏览器 cookie，并利用经过身份验证的 Facebook 会话从受害者的 Facebook 帐户中窃取信息，并最终劫持受害者有权访问的任何 Facebook Business 帐户。”Ducktail 演员有非常具体的目标——即在 Facebook 的业务和广告平台上运营的公司内对帐户具有高级访问权限的个人。

研究人员说，这些人包括在目标公司中担任管理、数字营销、数字媒体和人力资源角色的人。

研究人员写道：“这些策略将增加对手在不为人知的情况下损害各自 Facebook 业务的机会。”

研究人员报告说，为了渗透帐户，攻击者通过网络钓鱼活动针对 LinkedIn 用户，该活动使用与品牌、产品和项目规划相关的关键字来引诱受害者下载包含恶意软件可执行文件以及相关图像、文档和视频文件的存档文件。

恶意软件组件

研究人员深入研究了这种新型恶意软件，在其最新样本中，它专门用 .NET Core 编写，并通过其单文件功能进行编译，这是“在恶意软件中不常见的”，他们指出。

一旦感染系统，Ducktail 就会使用六个关键组件进行操作。研究人员表示，它首先创建互斥体并检查以确保在任何给定时间只有一个恶意软件实例在运行。

数据存储组件将被盗数据存储并加载到临时文件夹中的文本文件中，而浏览器扫描功能扫描已安装的浏览器以识别 cookie 路径以供日后盗窃。

研究人员说，Ducktail 还有两个组件专门用于从受害者那里窃取信息，一个是更通用的，窃取与 Facebook 无关的信息，另一个是窃取与 Facebook 业务和广告账户相关的信息，并劫持这些账户。

第一个通用信息窃取组件会扫描受感染机器上的 Google Chrome、Microsoft Edge、Brave 浏览器或 Firefox，并针对它找到的每一个，提取所有存储的 cookie，包括任何 Facebook 会话 cookie。

研究人员表示，致力于从 Facebook 业务/广告帐户中提取数据的 Ducktail 组件使用被盗的 Facebook 会话 cookie 从受害者的机器直接与各种 Facebook 端点（直接 Facebook 页面或 API 端点）交互。他们说，它还从 cookie 中获取其他安全凭证，以从受害者的 Facebook 帐户中提取信息。

恶意软件从 Facebook 窃取的具体信息包括：安全凭证、个人帐户识别信息、业务详细信息和广告帐户信息。

研究人员表示，Ducktail 还允许攻击者对 Facebook 业务帐户进行完全管理控制，这可以让他们访问用户的信用卡或其他交易数据以获取经济利益。

Telegram C&C 和其他逃避技巧

研究人员说，Ducktail 的最后一个组件将数据泄露到 Telegram 频道，用作威胁参与者的指挥和控制 (C&C)。研究人员说，这允许攻击者通过限制从 C&C 发送到受害者机器的命令来逃避检测。

此外，研究人员表示，该恶意软件不会在机器上建立持久性，这也意味着它可以在不提醒用户或标记 Facebook 安全性的情况下进入并执行其肮脏的工作。然而，他们说，威胁参与者观察到的不同版本的 Ducktail 以各种方式表现出这种缺乏持久性。

研究人员写道：“旧版本的恶意软件只是简单地执行，完成了它们的设计目标，然后退出。” “较新的版本在后台运行无限循环，定期执行渗透活动。”

Ducktail 还具有 Facebook 数据窃取组件的固有功能，该组件旨在通过向 Facebook 实体发出任何数据请求似乎来自受害者的主浏览器来规避 Meta 安全功能。研究人员表示，这将使这些行为看起来对 Meta 安全无害。攻击者还可以使用诸如被盗会话 cookie、访问令牌、2FA 代码、用户代理、IP 地址和地理位置以及一般帐户信息等信息来伪装和冒充研究人员说，受害者。