新發現的與越南威脅行為者相關的惡意軟件以用戶為目標，通過LinkedIn網絡釣魚活動竊取數據和管理員權限以獲取經濟利益。

一種新的惡意軟件正在通過針對LinkedIn帳戶的網絡釣魚活動劫持備受關注的Meta Facebook Business和廣告平臺帳戶。研究人員表示，這種名為Ducktail的惡意軟件使用來自經過身份驗證的用戶會話的瀏覽器cookie來接管帳戶并竊取數據。

WithSecure（前身為F-Secure）的研究人員在周二發布的一份報告中寫道，他們發現了這場正在進行的活動，這似乎是受經濟驅動的越南威脅行為者所為。研究人員表示，該活動本身似乎至少自2021年下半年以來一直很活躍，而其背后的威脅行為者可能自2018年以來就一直在網絡犯罪現場。

研究人員在報告附帶的博客文章中寫道：“該惡意軟件旨在竊取瀏覽器cookie，并利用經過身份驗證的Facebook會話從受害者的Facebook帳戶中竊取信息，并最終劫持受害者有權訪問的任何Facebook Business帳戶。”

Infosec內部人士和Ducktail參與者有非常具體的目標——即在Facebook的商業和廣告平臺上運營的公司中擁有高級賬戶訪問權限的個人，其中包括管理人員、數字營銷人員、數字媒體人員和人力資源管理人員

研究人員說：“這些策略將增加對手在不為人知的情況下損害不同Facebook業務的機會。”

研究人員報告說，為了滲透帳戶，攻擊者針對Linkedln用戶發起一場網絡釣魚活動，該活動使用與品牌、產品和項目規劃相關的關鍵字來引誘受害者下載包含惡意軟件可執行文件以及相關圖像、文檔和視頻文件的存檔文件。

惡意軟件組件

研究人員深入研究了這種新型惡意軟件，在其最新樣本中，它專門用.NET Core進行了編寫，并通過其單文件功能進行編譯。這“在惡意軟件中是不常見的”，他們指出。

一旦感染系統，Ducktail就會使用六個關鍵組件進行操作。研究人員表示，它首先創建互斥鎖并檢查，以確保在任何給定時間只有一個惡意軟件實例在運行。

數據存儲組件將被盜數據存儲并加載到臨時文件夾中的文本文件中，而瀏覽器掃描功能可以掃描已安裝的瀏覽器從而識別cookie路徑以供日后盜竊。

研究人員說，Ducktail還有兩個組件專門用于從受害者那里竊取信息，一個是通用的，竊取與Facebook無關的信息，另一個是竊取與Facebook商業和廣告賬戶相關的信息，并劫持這些賬戶。

第一個通用信息竊取組件會掃描受感染機器上的Google Chrome、Microsoft Edge、Brave瀏覽器或Firefox，并且提取所有存儲的cookie，包括任何Facebook會話cookie。

研究人員說，Ducktail的組件專用于從臉書商業/廣告賬戶中提取數據，直接與各種臉書端點進行交互——無論是直接的臉書頁面還是API端點——使用被盜的臉書會話cookie從受害者的機器中進行交互。他們說，它還從cookie中獲取其他安全憑證，以從受害者的Facebook帳戶中提取信息。

惡意軟件從Facebook竊取的具體信息包括：安全憑證、個人帳戶識別信息、業務詳細信息和廣告帳戶信息。

研究人員表示，Ducktail還允許威脅行為者對Facebook商業帳戶進行完全管理控制，這可以讓他們訪問用戶的信用卡或其他交易數據以獲取經濟利益。

Telegram C&C和其他逃避技巧

研究人員說，Ducktail的最后一個組件將數據泄露到Telegram頻道，用作威脅參與者的指揮和控制（C&C）。研究人員說，這允許攻擊者通過限制從C&C發送到受害者機器的命令來逃避檢測。

此外，研究人員表示，該惡意軟件不會在機器上建立持久性，這也意味著它可以在不提醒用戶或標記Facebook安全性的情況下進入并執行入侵活動。然而，他們說，威脅參與者觀察到的不同版本的Ducktail以多種不同方式表現出這種持久性的缺乏。

研究人員寫道：“舊版本的惡意軟件只是簡單地執行，完成了它們的設計目標，然后退出。”“較新的版本在后臺運行無限循環，定期執行滲透活動。”

Ducktail還具有Facebook數據竊取組件的固有功能，該組件旨在通過向似乎是來自受害者的Facebook實體發出任何數據請求。研究人員表示，這將使這些行為看起來對Meta安全無害。攻擊者還可以使用諸如被盜會話cookie、訪問令牌、2FA代碼、用戶代理、IP地址和地理位置以及一般帳戶信息等信息來偽裝和冒充受害者。

本文翻譯自：https://threatpost.com/malware-hijacks-facebook/180285/