Operasi penjahat dunia maya yang dilacak sebagai Ducktail telah membajak akun Facebook Business yang menyebabkan kerugian hingga $600.000 dalam bentuk kredit iklan.
Geng tersebut telah terlihat sebelumnya menggunakan malware untuk mencuri informasi terkait Facebook dan membajak akun bisnis terkait untuk menjalankan iklan mereka sendiri yang dibayar oleh korban.
Mendapatkan peran dengan hak istimewa tinggi
Diyakini sebagai karya aktor ancaman yang berbasis di Vietnam, Ducktail pertama kali didokumentasikan awal tahun ini yang menargetkan individu dengan akses tingkat tinggi ke akun bisnis Facebook yang memungkinkan perusahaan menjangkau audiens tertentu melalui kampanye dan iklan berbayar.
Pelaku ancaman akan mengirimkan malware pencuri info melalui LinkedIn, memikat target untuk meluncurkan file berbahaya dengan nama yang terkait dengan merek, produk, dan perencanaan produk – kata kunci khas yang relevan dengan korban.
Insiden terbaru yang diselidiki oleh para peneliti di WithSecure (sebelumnya bisnis F-Secure) menunjukkan bahwa operator berada di belakang Ducktail mengadaptasi taktik dan malware mereka untuk menghindari deteksi.
Pelaku ancaman menghubungi beberapa korban terbarunya melalui WhatsApp untuk memikat mereka agar menerima dan mengeksekusi muatan berbahaya yang akan mencuri informasi sensitif atau memberi penyerang akses ke akun bisnis Facebook.
“Salah satu fitur unik dari malware ini adalah kemampuannya untuk membajak akun Facebook Business yang terkait dengan akun Facebook korban. Ini mencoba untuk memberikan akses email pelaku ancaman ke bisnis dengan peran hak istimewa tertinggi,” kata peneliti dalam sebuah laporan pada bulan Juli.
sumber: WithSecure
Mereka lebih lanjut menjelaskan bahwa akun bisnis Facebook dapat dikaitkan dengan beberapa alamat email yang digunakan untuk mengakses panel Pengelola Bisnis berbagai perizinan: admin, karyawan, analis keuangan, dan editor keuangan.
Individu dengan peran administrator dan editor keuangan adalah target utama Ducktail karena mereka memiliki kendali atas pengaturan, izin orang, alat, dan detail keuangan (info kartu kredit bisnis, transaksi, faktur, dan metode pembayaran akun).
Setelah diluncurkan pada sistem korban, malware Ducktail dapat mencuri semua cookie yang tersimpan (termasuk cookie sesi Facebook) dari Google Chrome, Microsoft Edge, Brave, dan Firefox.
Dengan menggunakan cookie sesi, ia berinteraksi dengan berbagai titik akhir Facebook dari mesin korban dan mengumpulkan informasi lebih lanjut (token akses, kode autentikasi dua faktor, agen pengguna, alamat IP, geolokasi) yang akan memungkinkan pelaku ancaman menyamar sebagai korban dari sistem lain .
Operasi Ducktail berkembang
Dalam kampanye baru, pelaku ancaman beralih ke varian malware baru yang menggunakan .NET 7 AOT Asli fitur yang memungkinkan kompilasi biner tanpa .NET runtime diinstal pada mesin korban.
Perbedaan lainnya adalah alamat email operator tidak lagi di-hardcode dalam biner tetapi dikirim dari akun bot Telegram yang bertindak sebagai server perintah dan kontrol (C2).
Telegram juga digunakan dengan cara yang sama untuk kampanye terbaru, tetapi saluran tersebut menyertakan beberapa akun administrator, yang menunjukkan bahwa pelaku ancaman mungkin menjalankan program afiliasi.
Para peneliti juga mencatat bahwa data yang dieksfiltrasi sekarang dienkripsi menggunakan algoritme AES-128 dan kuncinya dilindungi melalui enkripsi asimetris.
sumber: WithSecure
WithSecure melihat beberapa sampel malware yang dikirim dari Vietnam ke VirusTotal antara 5-10 Oktober yang dikaitkan dengan keyakinan tinggi pada operasi Ducktail.
Untuk mempersulit pendeteksian, aktor ancaman menandatangani binari mereka dengan sertifikat validasi yang diperpanjang, sebuah taktik yang telah mereka gunakan sejak pertengahan 2021.
Sertifikat dibeli melalui bisnis yang terdaftar di Vietnam, tidak ada yang beroperasi. Peneliti WithSecure mengidentifikasi tujuh di antaranya, enam di antaranya mereka hubungkan ke Ducktail dengan keyakinan sedang.
sumber: WithSecure
Berdasarkan keterlibatan tanggapan insiden, para peneliti mengatakan Ducktail menargetkan perusahaan di industri periklanan, yang melaporkan kerugian finansial langsung antara $100.000 dan $600.000.
Perlu dicatat bahwa perusahaan keamanan cloud ZScaler menerbitkan laporan pada pertengahan Oktober tentang kampanye phishing yang juga mereka lacak sebagai Ducktail, yang memiliki kesamaan dengan temuan WithSecure.
Namun, WithSecure memberi tahu BleepingComputer bahwa indikator teknis dan intelijen yang dikumpulkan tidak mengungkap tumpang tindih antara kedua operasi tersebut.
“Ada pelaku ancaman berbeda yang beroperasi di ruang ini dan penilaian WithSecure saat ini adalah bahwa kampanye yang baru-baru ini ditemukan oleh ZScaler bukanlah varian baru atau kampanye yang dilakukan oleh atau terkait dengan operasi yang dilacak oleh WithSecure sebagai DUCKTAIL” – WithSecure
Sesuai WithSecure, kesamaan kedua kampanye tersebut hanyalah pencurian informasi dari akun Facebook korban dengan menggunakan berbagai halaman Facebook dan titik akhir API (mis. Grafik).
