Un groupe d'attaquants, probablement basé au Vietnam, qui se spécialise dans le ciblage des employés ayant un accès potentiel aux comptes d'entreprise et de gestion des publicités de Facebook, a refait surface. Ce retour s'effectue avec des modifications de son infrastructure, des malwares et du mode opératoire après avoir été initialement dévoilé il y a quelques mois. Surnommé Ducktail par les chercheurs de WithSecure, le groupe utilise le spear phishing pour cibler les individus sur LinkedIn dont les descriptions de poste pourraient suggérer qu'ils ont accès à la gestion des comptes professionnels Facebook. Plus récemment, les pirates ont également été observés ciblant des victimes via WhatsApp. Les comptes professionnels Facebook compromis sont utilisés pour diffuser des publicités sur la plate-forme et empocher des gains.

L'abus de compte est réalisé à l'aide du navigateur d'une victime via un programme malveillant fourni sous couvert de documents liés aux marques, aux produits et à la planification de projets. Les attaquants construisent d'abord une liste d'entreprises qui ont des pages professionnelles sur Facebook. Ils recherchent ensuite des employés sur LinkedIn et d'autres sources qui travaillent pour ces entreprises et dont les intitulés de poste pourraient leur donner accès à ces pages professionnelles. Ceux-ci incluent les fonctions de gestion, de marketing digital, de médias numériques et de ressources humaines. La dernière étape consiste à leur envoyer un lien avec une archive contenant le logiciel malveillant se faisant passer pour un fichier .pdf, ainsi que des images et des vidéos qui semblent faire partie du même projet.

Certains des noms de fichiers observés par les chercheurs incluent le projet « plan de développement », « informations sur le projet », « produits » et « nouveau plan d'affaires budgétaire du projet L'Oréal ». Certains des fichiers comprenaient des noms de pays, suggérant aux attaquants de les personnaliser pour chaque victime et pays en fonction de leur reconnaissance. Les victimes identifiées étaient réparties dans le monde entier, de sorte que les attaquants ne ciblent pas une région en particulier. On pense que le groupe Ducktail mène cette campagne depuis le second semestre 2021. Après la publication de l'opération par WithSecure en août dernier, l'opération s'est arrêtée et les attaquants ont retravaillé certains de leurs outils.

Les attaquants passent à GlobalSign comme autorité de certification

Les échantillons de logiciels malveillants analysés plus tôt cette année ont été signés numériquement avec un certificat de signature de code officiel obtenu auprès de Sectigo au nom d'une société vietnamienne. Depuis que ce certificat a été signalé et révoqué, les attaquants sont passés à GlobalSign comme autorité de certification. Alors qu'ils ont continué à demander des certificats à plusieurs autorités de certification au nom de la société d'origine, ils ont également créé six autres entreprises, toutes en vietnamien, et en ont obtenu en utilisant trois d'entre eux. Les certificats de signature de code nécessitent une validation étendue où l'identité du demandeur est vérifiée au moyen de divers documents. «

Au moment de la rédaction de cet article, l'acteur menaçant s'est adapté aux révocations de certificats en utilisant l'horodatage comme méthode de contre-signature via DigiCert », ont déclaré les chercheurs de WithSecure dans un dernier rapport publié cette semaine. Les échantillons de malwares Ducktail vus fin 2021 ont été écrits en .NET Core et ont été compilés à l'aide de la fonctionnalité de fichier unique du framework, qui regroupe toutes les bibliothèques et tous les fichiers requis dans un seul fichier exécutable, y compris l'Assembly principal. Cela garantit que le logiciel malveillant peut être exécuté sur n'importe quel ordinateur Windows, que le runtime .NET soit installé ou non. Depuis août 2022, date à laquelle la campagne s'est arrêtée, les chercheurs de WithSecure ont observé plusieurs échantillons de développement Ducktail téléchargés sur VirusTotal depuis le Vietnam. L'un des exemples a été compilé à l'aide de NativeAOT de .NET 7, qui fournit des fonctionnalités similaires à la fonctionnalité de fichier unique de .NET Core, permettant aux fichiers binaires d'être compilés en mode natif à l'avance. Cependant, NativeAOT a une prise en charge limitée des bibliothèques tierces, de sorte que les attaquants sont revenus à .NET Core.

D'autres expérimentations ont également été observées, telles que l'inclusion de code anti-analyse d'un projet GitHub qui n'a jamais été activé. Il y aussi la possibilité d'envoyer une liste d'adresses e-mail sous forme de fichier .txt à partir du serveur de commande et de contrôle à la place ou les coder en dur dans le logiciel malveillant et lancer un fichier factice lors de l'exécution du malware afin de rendre l'utilisateur moins méfiant - des fichiers factices de document (.docx), de feuille de calcul (.xlsx) et de vidéo (.mp4). Les attaquants testent également des chargeurs à plusieurs étapes pour déployer des logiciels malveillants, tels qu'un fichier de complément Excel (.xll), qui extrait un chargeur secondaire d'un blob chiffré, puis télécharge finalement le malware infostealer. Les chercheurs ont également identifié un téléchargeur écrit en .NET qu'ils associent avec une grande confiance à Ducktail, qui exécute une commande PowerShell qui télécharge l'infostealer depuis Discord. Le malware infostealer utilise les canaux Telegram pour la commande et le contrôle. Les attaquants ont mieux verrouillé ces canaux depuis leur sortie en août et certains canaux ont maintenant plusieurs administrateurs, ce qui pourrait suggérer qu'ils exécutent un programme d'affiliation similaire aux gangs de rançongiciels. « Cela est encore renforcé par l'augmentation de l'activité de chat et le nouveau mécanisme de cryptage des fichiers qui garantit que seuls certains utilisateurs pourront décrypter certains fichiers exfiltrés », expliquent les chercheurs.

L'authentification double facteur scrutée

Une fois déployé, le logiciel malveillant Ducktail recherche les navigateurs installés sur le système et le chemin d'accès à leur stockage de cookies. Il vole ensuite tous les cookies stockés, y compris tout cookie de session Facebook stocké à l'intérieur. Un cookie de session est un petit identifiant défini par un site Web dans un navigateur une fois l'authentification terminée avec succès pour se rappeler que l'utilisateur est connecté depuis un certain temps. Le logiciel malveillant utilise le cookie de session Facebook pour interagir directement avec les pages Facebook ou pour envoyer des requêtes à l'API Facebook Graph afin d'obtenir des informations. Ces informations incluent le nom, l'adresse e-mail, la date de naissance et l'identifiant d'utilisateur pour les comptes personnels ; noms, statut de vérification, limite d'annonces, utilisateurs et clients en attente des pages professionnelles Facebook auxquelles les comptes personnels ont accès ; nom, identifiant, statut du compte, cycle de paiement des publicités, devise, adtrust DSL et montant dépensé pour tous les comptes Facebook Ads associés.

Le malware vérifie également si l'authentification à deux facteurs est activée pour les comptes piratés et utilise la session active pour obtenir des codes de sauvegarde pour le 2FA lorsqu'il est activé. « Les informations volées sur la machine de la victime permettent également à l'auteur de la menace de tenter ces activités (ainsi que d'autres activités malveillantes) depuis l'extérieur de la machine de la victime », ont déclaré les chercheurs. « Des informations telles que les cookies de session volés, les jetons d'accès, les codes 2FA, l'adresse IP et la géolocalisation, ainsi que les informations générales sur le compte (telles que le nom et l'anniversaire) pourraient être utilisées pour masquer et se faire passer pour la victime ». Le malware tente d'ajouter des adresses e-mail contrôlées par des attaquants aux comptes professionnels Facebook piratés avec les rôles les plus élevés possibles : administrateur et responsables de comptes. Selon la documentation du propriétaire de Facebook, Meta, les administrateurs ont un contrôle total sur le compte, tandis que les responsables financiers contrôlent les informations de carte de crédit stockées dans le compte ainsi que les transactions, les factures et les dépenses sur le compte. Ils peuvent également ajouter des entreprises externes aux cartes de crédit stockées et aux factures mensuelles permettant à ces entreprises d'utiliser le même mode de paiement.

Usurpation d'identité légitime de gestionnaire de compte

« Dans les cas où les victimes ciblées n'avaient pas un accès suffisant pour permettre au logiciel malveillant d'ajouter les adresses e-mail de l'acteur de la menace dans les comptes professionnels prévus, le groupe s'est appuyé sur les informations qui ont été exfiltrées des machines et des comptes Facebook des victimes pour se faire passer pour eux. et atteindre leurs objectifs post-compromis », ont déclaré les chercheurs dans leur dernier rapport.

Dans un cas sur lequel l'équipe en recherche d'incidents de WithSecure ont enquêté, la victime utilisait un système Apple et ne s'était jamais connectée à Facebook à partir d'un ordinateur Windows. Aucun logiciel malveillant n'a été trouvé dessus et le vecteur d'accès initial n'a pas pu être déterminé. On ne sait pas si cela était lié à Ducktail, mais les chercheurs ont établi que les assaillants venaient également du Vietnam. Il est conseillé aux administrateurs de Facebook Business d'examiner régulièrement les utilisateurs ajoutés sous Business Manager > Paramètres > Personnes et de révoquer l'accès à tous les utilisateurs inconnus disposant d'un accès administrateur ou d'un rôle de responsable financier. « Dans l'ensemble de nos enquêtes, l'équipe WithSecure Incident Response a découvert que les journaux d'historique des activités et les données Facebook des individus ciblés étaient pertinents pour l'analyse de l'incident », ont déclaré les chercheurs. Cependant, pour les logs relatifs au compte Facebook de l'individu, des incohérences sont largement présentes entre ce qui est visible sur le portail web par rapport à ce que vous obtiendriez si vous deviez télécharger une copie de vos données. En guise de recommandation aux autres enquêteurs, l'équipe WithSecure Incident Response recommande fortement de capturer une copie locale de l'historique des logs de l'entreprise dès que possible et de demander une copie des données utilisateur pour leur compte.