LinkedIn’deki profesyonelleri, şirketin reklamlarını yöneten Facebook işletme hesaplarını devralmayı hedefleyen, kod adı “Ducktail” olan yeni bir kimlik avı kampanyası sürüyor.
Ducktail operatörleri dar bir hedefleme kapsamına sahiptir ve kurbanlarını dikkatli bir şekilde seçerek işverenlerinin sosyal medya hesaplarında yönetici ayrıcalıklarına sahip kişileri bulmaya çalışırlar.
Bu kampanyanın keşfi, 2021’den beri Vietnamlı bir tehdit aktörü olduğuna inandıkları şeyi izleyen ve 2018’e kadar uzanan faaliyet kanıtları toplayan WithSecure’daki araştırmacılardan geliyor.
Bu, Ducktail’in en az bir yıldır devam ettiği ve neredeyse dört yıldır aktif olabileceği anlamına geliyor.
Facebook hesaplarını çalmak
Tehdit aktörü, Facebook işletme hesabına erişimi olabilecek LinkedIn’deki çalışanlara ulaşır; örneğin, rolleri olarak “dijital medya” ve “dijital pazarlama”da çalışanlar olarak listelenen kişiler.
Potansiyel bir hedefle yapılan görüşmelerin bir parçası olarak, tehdit aktörleri, onları Dropbox veya iCloud gibi meşru bir bulut barındırma hizmetinde barındırılan bir dosyayı indirmeye ikna etmek için sosyal mühendislik ve aldatma kullanır.
İndirilen arşiv, dolandırıcı ve çalışan arasındaki tartışmayla ilgili JPEG resim dosyalarını içerir, ancak aynı zamanda bir PDF belgesi gibi görünmesi için yapılmış bir yürütülebilir dosyayı da içerir.
.png)
Bu dosya aslında bir .NET Core kötü amaçlı yazılımıdır ve gerekli tüm bağımlılıkları içerir ve .NET çalışma zamanı yüklü olmayanlarda bile herhangi bir bilgisayarda çalışmasına izin verir.
Çalıştırıldığında, kötü amaçlı yazılım Chrome, Edge, Brave ve Firefox’ta tarayıcı çerezlerini tarar, sistem bilgilerini toplar ve sonunda Facebook kimlik bilgilerini hedefler.
WithSecure raporda, “Kötü amaçlı yazılım, kurbanın Facebook hesabından bilgi çıkarmak için Facebook oturum tanımlama bilgisini (ve ilk oturum tanımlama bilgisi aracılığıyla elde ettiği diğer güvenlik kimlik bilgilerini) kullanarak kurbanın makinesinden çeşitli Facebook uç noktalarıyla doğrudan etkileşime girer” diye açıklıyor.
Facebook’un uç noktalarına yapılan istekler, geçerli bir oturum çerezi kullanılarak kurbanın tarayıcısından kaynaklandığı için gerçek görünüyor.
Kötü amaçlı yazılım, birden fazla erişim belirteci yakalamak için çeşitli Facebook sayfalarını tarar ve bunları sonraki aşamalarda engelsiz uç nokta etkileşimi için kullanır.
Çalınan bilgiler, çerezleri, IP adresini, hesap bilgilerini (ad, e-posta, doğum günü, kullanıcı kimliği), 2FA kodlarını ve coğrafi konum verilerini içerir ve esasen tehdit aktörünün bu erişime makinelerinden devam etmesine izin verir.
Güvenliği ihlal edilmiş hesaptan çalınan işletmeye özel ayrıntılar arasında doğrulama durumu, reklam limiti, kullanıcı listesi, müşteri listesi, kimlik, para birimi, ödeme döngüsü, harcanan miktar ve adtrust DSL (dinamik harcama limiti) yer alır.
Veriler en sonunda Telegram botları aracılığıyla sızdırılır ve belirli süreler arasında veya Facebook hesapları çalındığında, kötü amaçlı yazılım işlemi sonlandırıldığında veya kötü amaçlı yazılım çöktüğünde gerçekleşir.
Facebook hesabını ele geçirme
Kötü amaçlı yazılım yalnızca kurbanların Facebook hesaplarından bilgi çalmakla kalmaz, aynı zamanda tehdit aktörünün e-posta adresini ele geçirilmiş Facebook Business hesabına ekleyerek onları ele geçirir. Kullanıcıyı eklerken, tehdit aktörlerinin hesaba tam erişimine izin veren izinler eklerler.
Tehdit aktörleri daha sonra, ödemeleri hesaplarına yönlendirebilmek veya mağdur firmalardan gelen parayla Facebook Reklam kampanyaları yürütebilmek için belirlenen finansal ayrıntıları değiştirmek için yeni ayrıcalıklarından yararlanır.
WithSecure, Ducktail operatörlerinin amacının finansal olduğuna ve dolandırıcılığı keşfetmenin ve durdurmanın biraz zaman alacağı bir ortamda kolay kar elde etmeye çalıştığına inanmaktadır.
Özellikle, Nisan 2022’de FFDroider adlı bir bilgi hırsızından benzer şekilde karmaşık bir otomatik hesap çalma ve oturum belirteci doğrulama yaklaşımı gördük.