新发现的与越南威胁行为者相关的恶意软件旨在通过LinkedIn网络钓鱼活动窃取数据和管理员权限以获取经济利益。一种新的恶意软件正在通过针对LinkedIn帐户的网络钓鱼活动劫持备受瞩目的MetaFacebook业务和广告平台的帐户。研究人员说,这种名为Ducktail的恶意软件使用来自经过身份验证的用户会话的浏览器cookie来接管帐户并窃取数据。WithSecure(前身为F-Secure)的研究人员在周二发布的一份报告中写道,他们发现了一场正在进行的活动,这似乎是越南受经济驱动的威胁行为者所为。研究人员表示,该活动本身似乎至少从2021年下半年开始就一直活跃,而其背后的威胁行为者可能自2018年以来就一直在网络犯罪现场活动。“该恶意软件旨在窃取浏览器cookie并使用经过身份验证的Facebook会话从受害者的Facebook帐户中窃取信息,并最终劫持受害者可以访问的网页,”研究人员在报告随附的博客文章中写道。任何Facebook商业帐户。”Infosec内部人士和Ducktail参与者有非常具体的目标——即在Facebook业务和广告平台上运营的公司拥有高级帐户访问权限的个人,其中包括高管、数字营销人员,“这些策略将增加对手在不知不觉中伤害不同Facebook业务的机会,”研究人员说,他们是数字媒体专业人士和人力资源经理。为了渗透帐户,攻击者发起了一项针对LinkedIn用户的活动。这是一种网络钓鱼活动,使用与品牌、产品和项目计划相关的关键字来引诱受害者下载包含恶意软件可执行文件和相关图像、文档和视频文件的档案。恶意软件组件研究人员深入研究了这种新的恶意软件,在其最新样本中,它专门用.NETCore编写,并使用其单文件功能进行编译。他们指出,这“在恶意软件中并不常见”。一旦感染系统,Ducktail就会使用六个关键组件进行操作。研究人员说,它首先创建一个互斥锁并进行检查以确保在任何给定时间只有一个恶意软件实例在运行。数据存储组件将窃取的数据存储并加载到临时文件夹中的文本文件中,而浏览器扫描功能扫描已安装的浏览器以识别cookie路径以备日后窃取。研究人员表示,Ducktail还有两个专门用于窃取受害者信息的组件,一个是通用的,窃取与Facebook无关的信息,另一个窃取与Facebook业务和广告账户相关的信息,并劫持这些账户。第一个通用信息窃取程序扫描受感染机器上的GoogleChrome、MicrosoftEdge、Brave浏览器或Firefox,并提取所有存储的cookie,包括任何Facebook会话cookie。Ducktail的组件旨在从Facebook业务/广告帐户中提取数据,直接与各种Facebook端点交互——直接Facebook页面或API端点——使用窃取的Facebook会话,研究人员说cookie从受害者的机器进行交互。他们说,它还从cookie中获取了其他安全凭证,以从受害者的Facebook帐户中提取信息。恶意软件从Facebook窃取的具体信息包括:安全凭证、个人账户标识符、业务详细信息和广告账户信息。研究人员表示,Ducktail还允许威胁行为者对Facebook商业帐户进行全面的管理控制,这可能使他们能够访问用户的信用卡或其他交易数据以获取经济利益。TelegramC&C和其他规避技术研究人员表示,Ducktail的最终组件将数据泄露到Telegram通道中,用作威胁参与者的命令和控制(C&C)。研究人员说,这允许攻击者通过限制从C&C发送到受害者机器的命令来逃避检测。此外,研究人员表示,该恶意软件不会在机器上建立持久性,这也意味着它可以在不提醒用户或标记Facebook安全的情况下进入并执行入侵。然而,他们说,威胁行为者观察到的不同版本的Ducktail以多种不同方式表现出这种缺乏持久性。研究人员写道:“旧版本的恶意软件只是简单地执行、完成其设计目标并退出。”“较新的版本在后台运行无限循环,定期执行渗透活动。”Ducktail还具有Facebook数据窃取组件的固有功能,该组件旨在将任何数据请求传递给看似来自受害者的Facebook实体。研究人员说,这将使这些行为看起来对Meta无害。攻击者还可以使用窃取的会话cookie、访问令牌、2FA代码、用户代理、IP地址和地理位置以及一般帐户信息等信息来冒充和冒充受害者。本文翻译自:https://threatpost.com/malware-hijacks-facebook/180285/
