ΑρχικήsecurityLinkedIn phishing καμπάνια στοχεύει υπαλλήλους που διαχειρίζονται Facebook Ad Accounts

LinkedIn phishing καμπάνια στοχεύει υπαλλήλους που διαχειρίζονται Facebook Ad Accounts

Μια νέα phishing καμπάνια με την κωδική ονομασία «Ducktail» βρίσκεται σε εξέλιξη, η οποία στοχεύει επαγγελματίες στο LinkedIn που διαχειρίζονται Facebook Ad Accounts.

Lapsus$
Phishing καμπάνια στοχεύει υπαλλήλους LinkedIn που διαχειρίζονται Facebook Ad Accounts

Οι χειριστές της καμπάνιας Ducktail έχουν ένα στενό εύρος στόχευσης και επιλέγουν τα θύματά τους προσεκτικά, προσπαθώντας να βρουν άτομα που έχουν δικαιώματα διαχειριστή στους λογαριασμούς social media του εργοδότη τους.

Δείτε επίσης: Ο source code ενός info-stealer malware είναι διαθέσιμος σε hacking forum

Η ανακάλυψη αυτής της καμπάνιας προέρχεται από ερευνητές στο WithSecure, οι οποίοι παρακολουθούν αυτό που πιστεύουν ότι είναι ένας βιετναμέζος απειλητικός παράγοντας από το 2021 και συνέλεξαν στοιχεία δραστηριότητας που χρονολογούνται από το 2018.

Αυτό σημαίνει ότι η καμπάνια Ducktail έχει ξεκινήσει εδώ και τουλάχιστον ένα χρόνο και μπορεί να ήταν ενεργή τα τελευταία τέσσερα χρόνια.

Κλοπή λογαριασμών στο Facebook

Ο απειλητικός παράγοντας απευθύνεται σε υπαλλήλους στο LinkedIn που θα μπορούσαν να έχουν πρόσβαση στον επαγγελματικό λογαριασμό του Facebook, για παράδειγμα, άτομα που αναφέρονται ως εργαζόμενοι στους τομείς των «social media» και «ψηφιακό μάρκετινγκ».

Δείτε επίσης: CosmicStrand UEFI malware μολύνει motherboards Gigabyte και ASUS

Ως μέρος των συνομιλιών με έναν πιθανό στόχο, οι απειλητικοί φορείς απειλών χρησιμοποιούν social engineering και εξαπάτηση για να τους πείσουν να κατεβάσουν ένα αρχείο που φιλοξενείται σε μια νόμιμη υπηρεσία cloud hosting, όπως το Dropbox ή το iCloud.

LinkedIn facebook

Το αρχείο που κατεβάσατε περιέχει αρχεία εικόνας JPEG σχετικά με τη συζήτηση μεταξύ του απατεώνα και του υπαλλήλου, αλλά περιλαμβάνει και ένα εκτελέσιμο αρχείο που φαίνεται σαν έγγραφο PDF.

LinkedIn facebook

Αυτό το αρχείο είναι στην πραγματικότητα ένα malware .NET Core που περιέχει όλα τα απαιτούμενα dependencies, επιτρέποντάς του να εκτελείται σε οποιονδήποτε υπολογιστή, ακόμη και σε αυτούς χωρίς εγκατεστημένο το .NET runtime.

Όταν εκτελείται, το malware σαρώνει για browser cookies στον Chrome, τον Edge, τον Brave και τον Firefox, συλλέγει πληροφορίες συστήματος και τελικά στοχεύει Facebook credentials.

Τα αιτήματα προς τα endpoints του Facebook εμφανίζονται αυθεντικά καθώς προέρχονται από το πρόγραμμα περιήγησης του θύματος χρησιμοποιώντας ένα έγκυρο cookie περιόδου λειτουργίας.

Το malware ανιχνεύει διάφορες σελίδες του Facebook για να συλλάβει tokens πολλαπλής πρόσβασης και τα χρησιμοποιεί για ανεμπόδιστο endpoint interaction σε μεταγενέστερα στάδια.

LinkedIn facebook

Οι κλεμμένες πληροφορίες περιλαμβάνουν τα cookies, τη διεύθυνση IP, τις πληροφορίες λογαριασμού (όνομα, email, γενέθλια, user ID), κωδικούς 2FA και δεδομένα γεωγραφικής τοποθεσίας, επιτρέποντας ουσιαστικά στον απειλητικό παράγοντα να συνεχίσει αυτή την πρόσβαση από το μηχάνημά του.

Δείτε επίσης: T-Mobile: Συμφωνεί να πληρώσει $ 350 εκατομμύρια σε πελάτες για την περσινή παραβίαση δεδομένων

Τα στοιχεία για συγκεκριμένες επιχειρήσεις που έχουν κλαπεί από τον παραβιασμένο λογαριασμό περιλαμβάνουν την κατάσταση επαλήθευσης, το όριο διαφήμισης, τη λίστα χρηστών, τη λίστα πελατών, το ID, το νόμισμα, τον κύκλο πληρωμής, το ποσό που δαπανήθηκε και το adtrust DSL.

Τα δεδομένα τελικά γίνονται exfiltrate μέσω των bots του Telegram.

Παραβίαση του λογαριασμού Facebook

Το malware όχι μόνο κλέβει πληροφορίες από τους λογαριασμούς των θυμάτων στο Facebook, αλλά τους κάνει και hijack προσθέτοντας τη διεύθυνση email του απειλητικού παράγοντα στον παραβιασμένο λογαριασμό Facebook Business. Κατά την προσθήκη του χρήστη, προσθέτουν δικαιώματα που επιτρέπουν στους απειλητικούς παράγοντες πλήρη πρόσβαση στον λογαριασμό.

LinkedIn facebook

Στη συνέχεια, οι απειλητικοί φορείς αξιοποιούν τα νέα τους προνόμια για να αντικαταστήσουν τις καθορισμένες οικονομικές λεπτομέρειες, ώστε να μπορούν να κατευθύνουν τις πληρωμές στους λογαριασμούς τους ή να εκτελούν διαφημιστικές καμπάνιες στο Facebook με χρήματα από τις θύματα εταιρείες.

Η WithSecure πιστεύει ότι το κίνητρο των χειριστών της καμπάνιας Ducktail είναι οικονομικό.

Πηγή πληροφοριών: bleepingcomputer.com

Teo Ehc
Teo Ehchttps://www.secnews.gr
Be the limited edition.

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS