Crédit : Dreamstime
Appelé DUCKTAIL par les chercheurs de WithSecure , le groupe utilise le spear phishing pour cibler les personnes sur LinkedIn qui ont des descriptions de poste qui pourraient leur recommander d’avoir accès à la gestion des comptes de service Facebook.
Plus récemment, les attaquants ont également été observés en train de cibler des victimes via WhatsApp. Les comptes professionnels Facebook menacés sont utilisés pour diffuser des publicités sur la plate-forme pour le gain monétaire des agresseurs.
Les adversaires de DUCKTAIL font leur étude
L’abus de compte est accompli en utilisant le navigateur d’une victime par le biais d’un programme malveillant fourni sous le couvert de fichiers liés aux noms de marque, aux produits et à la préparation au travail. Les agresseurs construisent d’abord une liste d’entreprises qui ont des pages professionnelles sur Facebook.
Ils recherchent ensuite des membres du personnel sur LinkedIn et d’autres sources qui travaillent pour ces entreprises et ont des titres de tâches qui pourraient leur offrir un accès à ces pages de services. Il s’agit de rôles de supervision, de marketing numérique, de médias numériques et de ressources humaines.
La dernière étape consiste à leur envoyer un lien avec une archive contenant le logiciel malveillant se faisant passer pour un fichier .pdf, ainsi que des images et vidéos qui semblent faire partie du même travail. Certains des noms de fichiers vus par les chercheurs incluent la tâche « plan d’avancement », « informations sur la tâche », « éléments » et « nouvelle tâche du plan budgétaire de L’Oréal ».
Quelques-uns des fichiers inclus les noms des nations, recommandant aux ennemis de les personnaliser pour chaque victime et nation en fonction de leur reconnaissance. Les victimes déterminées étaient réparties dans le monde entier, de sorte que les assaillants ne ciblent pas une région spécifique.
On pense que le groupe DUCKTAIL gère ce projet depuis le second semestre 2021. Après que WithSecure a dévoilé son opération en août cette année, l’opération s’est arrêtée et les agresseurs ont remodelé quelques-uns de leurs outils.
Les agresseurs passent à GlobalSign en tant qu’autorité de certification
Échantillons de logiciels malveillants évalués plus tôt cette année ont été signés numériquement avec un véritable certificat de signature de code obtenu de Sectigo au nom d’une entreprise vietnamienne. Depuis que ce certificat a été signalé et retiré, les opposants ont en fait changé pour GlobalSign comme autorité de certification.
S’ils ont continué à exiger des certificats de plusieurs CA au nom de la société initiale, ils ont en fait également mis en place six autres services, tous en vietnamien, et obtenu des certificats de finalisation de code en utilisant trois d’entre eux. Les certificats de signature de code nécessitent une validation prolongée (EV) où l’identité du candidat est confirmée par de nombreux documents.
« Au moment de la rédaction, la star du risque s’est en fait adaptée aux révocations de certificats en utilisant l’horodatage comme une approche de contre-signature via DigiCert », ont déclaré les scientifiques de WithSecure dans un tout nouveau rapport publié cette semaine.
Les échantillons de logiciels malveillants DUCKTAIL vus fin 2021 ont été composés dans.NET Core et ont été assemblés à l’aide de l’unique fonction de fichier, qui regroupe toutes les bibliothèques et tous les fichiers requis dans un seul fichier exécutable, composé de l’assemblage principal.
Cela garantit que le logiciel malveillant peut être exécuté sur n’importe quel ordinateur Windows, qu’il ait ou non le .NET runtime installé ou non. Étant donné qu’en août 2022, lorsque la campagne s’est arrêtée, les scientifiques de WithSecure ont observé de nombreux échantillons d’avancement DUCKTAIL publiés sur VirusTotal depuis le Vietnam.
Parmi les échantillons a été assemblé à l’aide de NativeAOT de.NET 7, qui fournit des capacités similaires à celles du fonctionnalité de fichier unique de.NET Core, permettant aux binaires d’être assemblés nativement à l’avance. Cependant, NativeAOT a un support limité pour les bibliothèques tierces, donc les assaillants sont retournés à.NET Core.
Les mauvais acteurs ont en fait expérimenté
D’autres expérimentations ont également été observées, telles que l’ajout de code anti-analyse d’un projet GitHub qui n’a jamais été vraiment activé, la possibilité d’envoyer une liste d’adresses e-mail sous forme de fichier .txt à partir de la commande-et- serveur de contrôle au lieu de les coder en dur dans le logiciel malveillant et de publier un fichier factice lorsque le logiciel malveillant est exécuté afin de rendre l’utilisateur moins suspect – fichiers factices de document (. docx), de feuille de calcul (. xlsx) et de vidéo (. mp4) ont été observés.
Les opposants testent également des chargeurs multi-étapes pour déployer des logiciels malveillants, comme un fichier de complément Excel (. xll), qui extrait un chargeur secondaire d’un blob chiffré et après cela télécharge finalement le malware infostealer.
Les chercheurs ont également déterminé un téléchargeur écrit en.NET qu’ils associent à une grande confiance en soi ence à DUCKTAIL, qui exécute une commande PowerShell qui télécharge l’infostealer depuis Discord.
Le malware infostealer utilise les canaux Telegram pour le commandement et le contrôle. Les opposants ont mieux verrouillé ces chaînes étant donné qu’elles ont été dévoilées en août et que certaines chaînes ont maintenant de nombreux administrateurs, ce qui pourrait leur recommander de gérer un programme d’affiliation comparable aux gangs de rançongiciels.
« Cela est encore renforcé par l’augmentation de l’activité de chat et le nouveau système de cryptage des fichiers qui garantit que seuls certains utilisateurs auront la possibilité de décrypter certains fichiers exfiltrés », déclarent les chercheurs.
Piratage de navigateur Internet
Une fois déployé, le logiciel malveillant DUCKTAIL recherche les navigateurs Internet installés sur le système et le parcours vers leur stockage de cookies. Il vole ensuite tous les cookies conservés, y compris tout cookie de session Facebook stocké à l’intérieur. Un cookie de session est un petit identifiant défini par un site Web dans un navigateur Web une fois l’authentification terminée pour garder à l’esprit que l’utilisateur a effectivement été visité pendant un certain temps.
Le logiciel malveillant utilise le cookie de session Facebook pour se connecter directement aux pages Facebook ou pour envoyer des demandes à l’API Facebook Graph pour obtenir des informations.
Ces informations incluent le nom, l’e-mail, la date de naissance et l’identifiant d’utilisateur pour les comptes personnels ; nom, statut de confirmation, limite d’annonces, utilisateurs et clients en attente des pages d’organisation Facebook auxquelles les comptes individuels ont accès ; nom, identifiant, statut du compte, cycle de paiement des annonces, devise, adtrust DSL et quantité investie pour tous les comptes Facebook Ads associés.
Le logiciel malveillant vérifie également si l’authentification à deux facteurs est autorisée pour les comptes piratés et utilise la session active pour obtenir des codes de sauvegarde pour le 2FA lorsqu’il est activé.
« Les détails recueillis auprès du créateur de la victime permettent également à l’acteur du danger de tenter ces activités (en plus d’autres activités destructrices) depuis l’extérieur du créateur de la victime, » ont déclaré les chercheurs.
« Des détails tels que les cookies de session volés, les jetons d’accès, les codes 2FA, les agents utilisateurs, l’adresse IP et la géolocalisation, ainsi que les informations de base sur le compte (telles que le nom et la date de naissance) pourraient être utilisés pour masquer et usurper l’identité de la victime. »
Le logiciel malveillant a l’intention d’essayer d’inclure les adresses e-mail gérées par les agresseurs dans les comptes d’entreprise Facebook piratés avec les rôles les plus élevés possibles : administrateur et éditeur de financement. Selon la documentation du propriétaire de Facebook, Meta, les administrateurs ont un contrôle total sur le compte, tandis que les éditeurs financiers contrôlent les informations de carte de paiement enregistrées dans le compte en plus des transactions, des factures et des dépenses sur le compte.
Ils peuvent incluez également des organisations externes pour conserver les cartes de crédit et les facturations mensuelles régulières permettant à ces services d’utiliser exactement le même mode de paiement.
Usurper l’identité des véritables superviseurs de compte
» Dans des circonstances où les victimes ciblées n’avaient pas un accès suffisant pour permettre au logiciel malveillant d’inclure les adresses e-mail de l’acteur du risque dans les comptes de l’entreprise désignés, l’acteur de la menace dépend des informations qui ont été exfiltrées des machines et des comptes Facebook des victimes pour se faire passer pour et atteindre leurs objectifs post-compromis via une activité pratique « , ont déclaré les scientifiques dans leur tout nouveau rapport.
Dans une circonstance examinée par les intervenants en cas d’incident WithSecure, La victime utilisait un appareil Apple et ne s’était jamais connectée à Facebook à partir d’un ordinateur Windows.
Aucun logiciel malveillant n’a été trouvé sur le système et l’accès initial au vecteur n’a pas pu être déterminé. Il n’est pas certain que cela soit associé à DUCKTAIL, mais les chercheurs ont développé que les attaquants venaient également du Vietnam.
Les administrateurs de Facebook Business sont encouragés à examiner régulièrement les utilisateurs ajoutés sous Service Supervisor> Settings> People et à révoquer l’accès à tout des utilisateurs non identifiés ont obtenu un accès administrateur ou des rôles d’éditeur de financement.
« Au cours de nos examens, le groupe WithSecure Incident Response a constaté que les journaux d’historique des activités et les informations Facebook des personnes ciblées étaient pertinentes pour l’analyse de l’événement », ont déclaré les scientifiques.
« Cependant, pour les journaux de connexion au compte Facebook de la personne, des disparités sont largement présentes entre ce qui est visible sur le site Web en ligne et ce que vous obtiendriez si vous téléchargiez une copie de vos données.
» À titre de suggestion aux autres détectives privés, l’équipe WithSecure Event Action recommande fortement d’enregistrer une copie locale des journaux d’historique de l’entreprise le plus rapidement possible et de demander une copie des données de l’utilisateur pour leur compte. »
.
Toute l’actualité en temps réel, est sur L’Entrepreneur
