'Ducktail' kodlu yeni bir kimlik avı kampanyası devam ediyor ve LinkedIn'deki profesyonelleri şirket için reklamı yöneten Facebook iş hesaplarını devralmak için hedefliyor.
Ducktail operatörleri dar bir hedefleme kapsamına sahiptir ve kurbanlarını dikkatlice seçer ve işverenlerinin sosyal medya hesaplarında yönetici ayrıcalıkları olan kişileri bulmaya çalışırlar.
Bu kampanyanın keşfi, 2021'den beri Vietnam tehdit oyuncusu olduğuna inandıkları şeyi izleyen ve 2018'e kadar uzanan faaliyet kanıtlarını toplayan Withecure'deki araştırmacılardan geliyor.
Bu, Ducktail'in en az bir yıldır devam ettiği ve neredeyse dört yıldır aktif olabileceği anlamına geliyor.
Tehdit oyuncusu, LinkedIn'de Facebook iş hesabı erişimine sahip olabilecek çalışanlara, örneğin “dijital medya” ve “dijital pazarlama” da rolleri olarak listelenen kişilere ulaşır.
Potansiyel bir hedefle yapılan konuşmaların bir parçası olarak, tehdit aktörleri, Dropbox veya iCloud gibi meşru bir bulut barındırma hizmetinde barındırılan bir dosyayı indirmeye ikna etmek için sosyal mühendislik ve aldatmacayı kullanıyor.
İndirilen arşiv, dolandırıcı ve çalışan arasındaki tartışma ile ilgili JPEG görüntü dosyalarını içerir, ancak PDF belgesi gibi görünmek için yapılmış bir yürütülebilir dosyayı da içerir.
Bu dosya aslında gerekli tüm bağımlılıkları içeren, herhangi bir bilgisayarda çalıştırılmasına izin veren, .NET çalışma zamanı yüklü olanlar bile.
Yürütüldüğünde, Chrome, Edge, Cesur ve Firefox'ta tarayıcı çerezleri için kötü amaçlı yazılım taramaları, sistem bilgilerini toplar ve sonunda Facebook kimlik bilgilerini hedefler.
Raporda, “Kötü amaçlı yazılım, kurbanın Facebook hesabından bilgi çıkarmak için Facebook oturum çerezini (ve ilk oturum çerezi aracılığıyla elde ettiği diğer güvenlik kimlik bilgilerini) kullanarak kurbanın makinesinden çeşitli Facebook uç noktalarıyla doğrudan etkileşime giriyor” diye açıklıyor.
Facebook’un uç noktalarındaki talepler, geçerli bir oturum çerezi kullanarak kurbanın tarayıcısından kaynaklandıkları için otantik görünür.
Kötü amaçlı yazılım, birden fazla erişim belirteç yakalamak için çeşitli Facebook sayfalarını tarar ve bunları daha sonraki aşamalarda engelsiz uç nokta etkileşimi için kullanır.
Çalınan bilgiler çerezleri, IP adresini, hesap bilgilerini (ad, e -posta, doğum günü, kullanıcı kimliği), 2FA kodları ve coğrafi konum verilerini içerir ve bu da tehdit oyuncunun bu erişime makinelerinden devam etmesine izin verir.
Marka edilen hesaptan çalınan işletmeye özgü ayrıntılar, doğrulama durumu, reklam limiti, kullanıcı listesi, istemci listesi, kimlik, para birimi, ödeme döngüsü, harcanan tutar ve AdTrust DSL (dinamik harcama sınırı) yer alır.
Veriler sonunda telgraf botları aracılığıyla açıklanır ve belirlenen dönemler arasında veya Facebook hesapları çalındığında, kötü amaçlı yazılım süreci çıktığında veya kötü amaçlı yazılım çöktüğünde gerçekleşir.
Kötü amaçlı yazılımlar sadece mağdurların Facebook hesaplarından bilgi çalmakla kalmaz, aynı zamanda tehdit oyuncusunun e -posta adresini tehlikeye atılan Facebook iş hesabına ekleyerek de onları ele geçirir. Kullanıcıyı eklerken, tehdit aktörlerinin hesaba tam erişimine izin veren izinler eklerler.
Tehdit aktörleri daha sonra, ödemeleri hesaplarına yönlendirebilmeleri veya Facebook reklam kampanyalarını mağdur firmalardan parayla çalıştırabilmeleri için yeni ayrıcalıklarından yararlanırlar.
Withecure, Ducktail operatörlerinin nedeninin finansal olduğuna inanıyor ve sahtekarlığı keşfetmenin ve durdurmanın biraz zaman alacağı bir ortamda kolay karlar sağlıyor.
Özellikle, Nisan 2022'de FFDROIDER adlı bir bilgi çalandan benzer şekilde sofistike bir otomatik hesap çalma ve oturum token doğrulama yaklaşımı gördük.
Hacker forumlarında yayınlanan pas tabanlı info-stealer için kaynak kodu
Amadey kötü amaçlı yazılım Smokeloader kampanyasında yazılım çatlakları yoluyla itildi
Yeni gizli yörünge kötü amaçlı yazılım, Linux cihazlarından verileri çalıyor
Xfiles Info-Renting Malware, Follina Teslimatı için Destek Katar
YENİ YTSTEALER KAYNAK YAZILIĞI YOUTUBE Creators'ın Hesaplarını Çalar
Kaynak: Bleeping Computer