Hackerbande zielt erneut auf Facebook-Business-Accounts

Eine wahrscheinlich in Vietnam ansässige Hackergruppe ist nun wieder aufgetaucht, nachdem sie vor einigen Monaten erstmals entdeckt wurde. Die von den WithSecure-Forschern als Ducktail bezeichnete Gruppe nutzt Spear-Phishing, um Personen auf LinkedIn anzusprechen, deren Stellenbeschreibung darauf schließen lässt, dass sie Zugang zur Verwaltung von Facebook-Geschäftskonten haben. Dem Sicherheitsanbieter zufolge hatte die Bande eine kurze Pause eingelegt, um Änderungen an ihrer Infrastruktur und Malware vorzunehmen. Ziel der Hacker ist es, kompromittierte Facebook-Geschäftskonten zu nutzen, um Anzeigen auf der Plattform zu schalten und damit finanzielle Gewinne zu erzielen.

Ducktail-Angreifer stellen Nachforschungen an

Der Kontomissbrauch erfolgt über den Browser des Opfers durch ein Malware-Programm, das unter dem Deckmantel von Dokumenten zu Marken, Produkten und Projektplanung geliefert wird. Die Angreifer erstellen zunächst eine Liste von Unternehmen, die über Geschäftsseiten auf Facebook verfügen. Anschließend suchen sie auf LinkedIn und anderen Quellen nach Mitarbeitern, die für diese Unternehmen tätig sind und Jobtitel haben, die ihnen Zugang zu diesen Unternehmensseiten verschaffen könnten. Dazu gehören Positionen in den Bereichen Management, digitales Marketing, digitale Medien und Personalwesen.

Der letzte Schritt besteht darin, den ausgewählten Personen einen Link mit einem Archiv zu senden, das die als PDF-Datei getarnte Malware sowie Bilder und Videos enthält. Einige der von den Forschern gesichteten Dateinamen lauten "Entwicklungsplan", "Projektinformationen", "Produkte" und "neues Projekt L'Oréal Budget Business Plan". Zudem enthielten einige der Dateien Ländernamen, was darauf hindeutet, dass die Angreifer sie für jedes Opfer und jedes Land auf der Grundlage ihrer Erkundungen angepasst haben. Die identifizierten Opfer waren über die ganze Welt verteilt, so dass die Angreifer nicht auf eine bestimmte Region abzielten. Die Angreifer wurden zudem kürzlich dabei beobachtet, wie sie potenzielle Opfer über WhatsApp ansprachen.

Die Ende 2021 entdeckten Ducktail-Malware-Samples waren in .NET Core geschrieben und wurden mit der Single-File-Funktion des Frameworks kompiliert. Diese bündelt alle erforderlichen Bibliotheken und Dateien in einer einzigen ausführbaren Datei, einschließlich der Haupt-Assembly.

Dadurch wird sichergestellt, dass die Malware auf jedem Windows-Computer ausgeführt werden kann, unabhängig davon, ob die .NET-Laufzeitumgebung installiert ist oder nicht. Seit August 2022, als die Kampagne eingestellt wurde, beobachteten die WithSecure-Forscher mehrere Ducktail-Entwicklungsmuster, die aus Vietnam auf VirusTotal hochgeladen wurden.

Eines der Samples wurde mit dem NativeAOT von .NET 7 kompiliert, das ähnliche Funktionen wie die Single-File-Funktion von .NET Core bietet und ermöglicht, Binärdateien im Voraus nativ zu kompilieren. NativeAOT bietet jedoch nur begrenzte Unterstützung für Bibliotheken von Drittanbietern, weshalb die Angreifer auf .NET Core zurückgriffen.

Die Angreifer haben experimentiert

Darüber hinaus haben die Sicherheitsforscher auch andere Experimente der Gang beobachtet, wie zum Beispiel die Einbindung von Anti-Analyse-Code aus einem GitHub-Projekt, der nie aktiviert wurde. Der Code bietet die Möglichkeit, eine Liste von E-Mail-Adressen als .txt-Datei vom Command-and-Control-Server zu senden, anstatt sie in der Malware fest zu kodieren. Zudem kann damit eine Dummy-Datei gestartet werden, wenn die Malware ausgeführt wird, um den Benutzer weniger verdächtig zu machen. Dabei wurden Dummy-Dateien für Dokumente (.docx), Tabellenkalkulationen (.xlsx) und Videos (.mp4) entdeckt.

Darüber hinaus haben die Angreifer auch mehrstufige Loader getestet, um Malware zu installieren. Als Beispiel nennen die Forscher eine Excel-Add-in-Datei (.xll), die einen sekundären Loader aus einem verschlüsselten Blob extrahiert und dann schließlich die Infostealer-Malware herunterlädt. Zudem identifizierten sie einen in .NET geschriebenen Downloader, der auch mit Ducktail in Verbindung stehen soll. Dieser führt einen PowerShell-Befehl aus, der den Infostealer von Discord herunterlädt.

Die Infostealer-Malware nutzt Telegram-Kanäle für die Steuerung und Kontrolle. Die Angreifer haben diese Kanäle seit ihrer Enttarnung im August besser abgeschottet. Einige Kanäle haben jetzt mehrere Administratoren, was darauf hindeuten könnte, dass sie ein Partnerprogramm ähnlich wie andere Ransomware-Banden betreiben. "Dies wird noch verstärkt durch die erhöhte Chat-Aktivität und den neuen Dateiverschlüsselungsmechanismus, der sicherstellt, dass nur bestimmte Benutzer in der Lage sind, bestimmte exfiltrierte Dateien zu entschlüsseln", so die Forscher.

Es wird vermutet, dass die Ducktail-Gruppe diese Kampagne seit der zweiten Hälfte des Jahres 2021 betreibt. Nachdem WithSecure ihre Operation im August dieses Jahres aufgedeckt hatte, wurde die Operation gestoppt und die Angreifer überarbeiteten einige ihrer Tools.

Angreifer wechseln zu GlobalSign als Zertifizierungsstelle

Malware-Samples, die Anfang des Jahres analysiert wurden, waren mit einem legitimen Code Signing-Zertifikat signiert, das von Sectigo im Namen eines vietnamesischen Unternehmens ausgestellt wurde. Da dieses Zertifikat gemeldet und widerrufen wurde, sind die Angreifer zu GlobalSign als Zertifizierungsstelle gewechselt.

Während sie weiterhin Zertifikate von mehreren CAs (Certification Authorities) im Namen des ursprünglichen Unternehmens anforderten, gründeten sie sechs andere Unternehmen, alle in vietnamesischer Sprache. Über drei dieser Unternehmen konnten die Hacker Code-Signing-Zertifikate erhalten. Code-Signing-Zertifikate erfordern eine erweiterte Validierung (EV), bei der die Identität des Antragstellers anhand verschiedener Dokumente überprüft wird.

"Zum Zeitpunkt der Erstellung des Forschungsberichts hat sich der Bedrohungsakteur an Zertifikatswiderrufe angepasst, indem er Zeitstempel als Gegensignaturmethode über DigiCert verwendet", erklären die WithSecure-Forscher in ihrem Bericht.

Browser-Hijacking

Sobald die Ducktail-Malware installiert ist, sucht sie nach den auf dem System installierten Browsern und den Pfaden zu deren Cookie-Speicher. Dann stiehlt sie alle gespeicherten Cookies, einschließlich der darin gespeicherten Facebook-Sitzungscookies. Ein Sitzungs-Cookie ist eine kleine Kennung, die von einer Website im Browser gesetzt wird, nachdem die Authentifizierung erfolgreich abgeschlossen wurde.

Die Malware verwendet das Facebook-Sitzungs-Cookie, um direkt mit Facebook-Seiten zu interagieren oder um Anfragen an die Facebook-Graph-API zu senden, um Informationen zu erhalten. Zu diesen Informationen gehören: Name, E-Mail, Geburtstag und Benutzer-ID für persönliche Konten sowie Name, Verifizierungsstatus, Anzeigenlimit, ausstehende Benutzer und Kunden von Facebook-Geschäftsseiten, auf die die persönlichen Konten Zugriff haben. Hinzu kommen Name, ID, Kontostatus, Anzeigenzahlungszyklus, Währung, Adtrust-DSL und ausgegebener Betrag für alle damit verbundenen Facebook Ads-Konten.

Die Malware prüft auch, ob die Zwei-Faktor-Authentifizierung für die gekaperten Konten aktiviert ist und nutzt die aktive Sitzung, um Backup-Codes für die 2FA zu erhalten, falls diese aktiviert ist.

"Die vom Rechner des Opfers gestohlenen Informationen ermöglichen es dem Bedrohungsakteur auch, diese Aktivitäten (sowie andere bösartige Aktivitäten) von außerhalb des Rechners des Opfers zu versuchen", so die Forscher. "Informationen wie gestohlene Sitzungscookies, Zugriffstoken, 2FA-Codes, Benutzeragenten, IP-Adressen und Geolocation sowie allgemeine Kontoinformationen (wie Name und Geburtstag) können zur Tarnung und Identifizierung des Opfers verwendet werden.

Die Malware zielt darauf ab, von Angreifern kontrollierte E-Mail-Adressen zu den gekaperten Facebook-Geschäftskonten mit den höchstmöglichen Rollen hinzuzufügen: Admin und Finanzredakteur. Laut der Dokumentation des Facebook-Eigentümers Meta haben Administratoren die volle Kontrolle über ein Konto, während Finanzredakteure die Kontrolle über die im Konto gespeicherten Kreditkarteninformationen sowie über Transaktionen, Rechnungen und Ausgaben für das Konto haben. Sie können auch externe Unternehmen zu den gespeicherten Kreditkarten und monatlichen Rechnungen hinzufügen, damit diese Unternehmen die gleiche Zahlungsmethode verwenden können.

Identitäten von legitimen Kontoverwaltern vorgeben

"In Fällen, in denen die anvisierten Opfer keinen ausreichenden Zugang hatten, verließ sich der Angreifer auf die Informationen, die von den Computern und Facebook-Konten der Opfer exfiltriert wurden, um sich als diese auszugeben", so die Forscher.

In einem Fall, den die WithSecure-Mitarbeiter untersuchten, verwendete das Opfer einen Apple-Rechner und hatte sich noch nie von einem Windows-Computer aus bei Facebook angemeldet. Auf dem System wurde keine Malware gefunden, und der ursprüngliche Zugangsvektor konnte nicht ermittelt werden. Es ist unklar, ob dieser Angriff mit Ducktail zusammenhängt. Doch die Forscher stellten fest, dass die Angreifer ebenfalls aus Vietnam kamen.

Facebook Business-Administratoren wird empfohlen, die unter Business Manager > Einstellungen > Personen hinzugefügten Nutzer regelmäßig zu überprüfen und unbekannten Nutzern, denen Admin-Rechte gewährt wurde, den Zugriff zu entziehen.

"Während unseren Untersuchungen stellten wir fest, dass die Protokolle des Geschäftsverlaufs und die Facebook-Daten der betroffenen Personen für die Analyse des Vorfalls relevant waren", so die Forscher. Bei den Protokollen, die sich auf das Facebook-Konto einer Person beziehen, gebe es jedoch zahlreiche Unstimmigkeiten zwischen dem, was auf dem Webportal sichtbar ist, und dem, was man erhalten würde, wenn man eine Kopie seiner Daten herunterladen würde.

Das WithSecure Incident Response Team empfiehlt deshalb, so schnell wie möglich eine lokale Kopie der Protokolle des Geschäftsverlaufs zu erstellen und eine Kopie der Nutzerdaten für das betroffene Konto anzufordern. (jm)

Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.

Tipp: Sie möchten regelmäßig über aktuelle Security-Themen informiert werden? Abonnieren Sie doch einfach unseren kostenlosen Newsletter.