Нов злонамерен софтуер отвлича профили на важни личности в Meta Facebook Business и рекламната платформа чрез фишинг кампания, насочена към профили в LinkedIn. Опасният софтуер Ducktail използва „бисквитките“ на браузъра при съвсем легални потребителски сесии, за да поеме контрол над профилите и да открадне данни.
Експертите на WithSecure (бивша F-Secure) са засекли текущата фишинг кампания, която изглежда е дело на виетнамски хакери. Самата кампания изглежда е активна поне от втората половина на 2021 година.
Злонамереният софтуер е проектиран да краде „бисквитки“ на браузера и да се възползва от автентифицирани сесии във Facebook, за да открадне информация за бизнес профила на жертвата и в крайна сметка да го отвлече, пишат изследователите в блог публикация.
Хакерите от Ducktail имат много специфични цели — те се насочват към лица в компаниите, които работят с бизнес- и рекламната платформа на Facebook и съответно имат достъп на високо ниво до съответния бизнес профил. Това обичайно включва хора на управленски позиции в сферата на дигиталния маркетинг, цифровите медии и човешките ресурси.
„Тези тактики биха увеличили шансовете на хакерите да компрометират съответния бизнес във Facebook, като същевременно остават извън радара [на корпоративните системи за сигурност]“, пишат изследователите.
За да проникнат в профилите, хакерите първо се насочват към потребителите на LinkedIn с фишинг-кампания, която примамва жертвите, използвайки ключови думи, свързани с марки, продукти и планиране на проекти. Лековерните мениджъри биват приканени да изтеглят архивен файл, съдържащ изпълнимия злонамерен софтуер заедно със свързани изображения, документи и видео файлове.
Атаката е разработена за „изкопчване“ на „бисквитките“ от популярните браузери Google Chrome, Microsoft Edge, Brave Browser и Firefox. За всеки от тях злонамереният код краде всички съхранени бисквитки, включително и тези за сесиите във Facebook.
Ducktail има функции, присъщи на системите за кражба на данни от Facebook, които заобикалят функциите за сигурност на Meta, правейки всяка заявка за данни да изглежда сякаш е съвсем легална, идваща от основния браузър на жертвата. Това означава, че хакерските действия ще изглеждат безобидни за сигурността на Meta, поясняват изследователите.
В крайна сметка Ducktail позволява на участниците в атаката да поемат пълен административен контрол върху акаунтите във Facebook Business, което може да им даде достъп до кредитната карта на потребителя или други транзакционни данни.