Sosyal medya platformlarında güvenliği ihlal edilmiş işletme ve reklam hesaplarının satılmasından oldukça fazla para kazanılabilir ve Ducktail tehdit aktörü tam da bu konuda uzmanlaşmıştır.
Zscaler araştırmacıları, “‘Düşük dereceli’ olarak değerlendirilen bir hesabın yaklaşık 350.000 Vietnam donguna (~15 ABD Doları) satıldığını, değerli kabul edilen hesapların ise yaklaşık 8.000.000 Vietnam donguna (~ 340 ABD Doları) satıldığını gözlemledik” dedi.
Hedefler ve teknikler
Araştırmacılar daha önce grup tarafından yürütülen kampanyalar hakkında rapor vermişti, ancak Zscaler’in araştırmacıları artık daha fazla taktik, teknik ve prosedürlerin ana hatlarını çizdiler ve tehdit aktörünün bir parçası olduğu yeraltı ekonomisini ortaya çıkardılar.
Ducktail, Vietnam’da faaliyet gösteren ve amacı TikTok, Facebook, LinkedIn ve Google gibi platformlardaki sosyal medya işletme hesaplarını ele geçirmek olan bir gruba güvenlik araştırmacıları tarafından verilen addır.
Seçilen hedefleri dijital pazarlama ve reklamcılık sektöründe çalışan yani işletme ve reklam hesaplarına erişimi olan kişilerdir.
Tercih ettikleri yaklaşım, bilgi çalan kötü amaçlı yazılımları indirip çalıştıracak sosyal mühendislik hedeflerine yöneliktir.
Genellikle kurbanlarla ele geçirilen LinkedIn hesapları aracılığıyla iletişime geçerek onları sahte iş ilanlarıyla kandırıyorlar. “İşe alan kişi” kurbana mesaj attıktan sonra, aynı zamanda tarayıcılardan kayıtlı oturum çerezlerini çalabilecek kötü amaçlı bir yürütülebilir dosya içeren sahte bir iş başvuru paketini de bir e-postayla gönderir.
Araştırmacılar, “Tehdit aktörlerinin, DuckTail’in kurbanların sahte iş ilanları ve sahte işe alım uzmanlarıyla kandırıldığı ilk saldırısının kurbanı olan kullanıcıların LinkedIn hesaplarını ele geçirdiğine yüksek bir güven düzeyiyle inanıyoruz” dedi.
Bazı Ducktail verileri ayrıca bir Excel eklentisi veya tarayıcı uzantısı biçiminde de gelir.
Ducktail, faaliyetlerinin farklı aşamalarında sosyal medyayı ve bulut platformlarını kötüye kullanıyor. (Kaynak: Zscaler)
Bu kötü amaçlı arşivleri bulut barındırma hizmetlerinde (iCloud, Google Drive, Dropbox, Transfer.sh ve OneDrive) barındırıyorlar ve bazen bir proje yönetim platformu olan Trello’yu bulut barındırma hizmeti olarak da kullanıyorlar.
Bir diğer popüler tuzak ise ChatGPT gibi yapay zeka araçlarının sahte versiyonlarıdır.
Ayrıca, pazarlama kılavuzları ve pazarlama yazılımı sunuyormuş gibi görünen, ancak aslında bilgi hırsızlarına hizmet eden web sayfaları kurdukları da biliniyor.
Hesap devralma
Saldırganlar, kurbanın işletme/reklam hesabını ele geçirmek için bu hesaba kendi e-posta adreslerini ekler ve ara sıra hesabın şifresini ve e-posta adresini değiştirir.
“Bir kurbanın Facebook hesabını ele geçirdikten sonra tehdit aktörünün Şifreli Bildirimler ayarını etkinleştirdiği bir örneği gözlemledik. Araştırmacılar, bu şekilde kurbanla olan her Facebook e-posta iletişiminin şifrelendiğini ve mağdurun hesabını kurtarmasının etkili bir şekilde engellendiğini belirtti.
Saldırganlar, güvenliği ihlal edilmiş sosyal medya işletme hesaplarına giriş yaparken özel konut proxy hizmetlerini kullanıyor, böylece coğrafi konumu uygun şekilde belirlenmiş bir IP adresini “gösterebiliyor” ve platformun savunması tarafından tespit edilmekten kaçınabiliyorlar.
Satılık işletme ve reklam hesapları
Tehdit aktörleri, reklam bütçelerine erişebilmek için reklam hesaplarını hedefler.
Saldırganlar, ele geçirilen hesaplarla iletişim kurmak ve bunlara erişim satmak için Telegram, Facebook ve Zalo (Vietnam mesajlaşma uygulaması) gibi platformları kullanıyor. Çalınan hesaplar Vietnam merkezli bir yer altı pazarında da satılıyor.
Satıcılar ve alıcılar, hesap türü (kişisel reklam hesabı veya işletme yöneticisi hesabı), günlük reklam bütçesi ve ödeme eşiği, hesabın doğrulanıp doğrulanmadığı, uzun ömürlülük (eski hesaplar daha fazladır) dahil olmak üzere, satılan hesapların belirli özelliklerini ararlar. değerli) vb.
“Facebook, şüpheli hesapları otomatik olarak işaretleyerek platformlarındaki reklam hesaplarını hackleyen ve kötüye kullanan Ducktail gibi tehdit aktörleriyle mücadele ediyor. Bu nedenle tehdit aktörleri, güvenliği ihlal edilmiş bir reklam hesabının ömrünü uzatmaya çalışır. Bu nedenle hacklenen Facebook hesapları birbirinin yerine geçebilecek mallar değildir. Bir hesabın özelliklerine bağlı olarak, alıcılar için çok değerli olabileceği gibi, alıcılar için neredeyse kullanışsız da olabilir,” diye sonuçlandırıyor araştırmacılar.