Facebook ページ担当者に迫る乗っ取りの脅威:LinkedIn での怪しい勧誘に御用心

LinkedIn phishing target employees managing Facebook Ad Accounts

2022/07/25 BleepingComputer — Ducktail というコードネームで呼ばれる、新しいフィッシング・キャンペーンが進行中だ。そこでは、LinkedIn に登録されている専門家がターゲットにされ、企業の広告を管理する Facebook のビジネス・アカウントが乗っ取られている。Ducktail のオペレーターは、ターゲットの範囲を絞り込み、犠牲者を慎重に選び出し、Facebook ビジネス・アカウントの管理者権限を持っている人を見つけようとする。

WithSecure Research : DUCKTAIL pdf

このキャンペーンの発見は、2021年からベトナムの脅威アクターを追跡してきた WithSecure の研究者が、2018年まで遡って活動の証拠を収集したことによる。つまり、Ducktail は1年前から進行中であり、もう4年近くも活動している可能性がある。

Actor's random targeting scope
Ducktail’s random targeting scope (WithSecure)

Facebook アカウントの窃取

LinkedIn において、この脅威アクターは、役割としてデジタル・メディアやデジタル・マーケティングに従事している自己紹介している人物に、つまり Facebook のビジネス・アカウントにアクセスできる可能性のある人物に連絡を取る。

ターゲットとの会話の一環として、脅威アクターは、ソーシャル・エンジニアリングと欺瞞を駆使して、Dropbox や iCloud などの正規のクラウド・サービスにホストされている、ファイルをダウンロードするよう説得する。

Downloading malware from iCloud (WithSecure)


ダウンロードされたアーカイブには、詐欺師と従業員の間の議論に関連する JPEG 画像ファイルが含まれているが、PDF 文書に見せかけた実行ファイルも含まれている。

The files contained in the archive
The files contained in the archive (WithSecure)


実際には、このファイルは .NET Core マルウェアであり、必要な依存関係を全て含んでいるため、.NET ランタイムがインストールされていないコンピュータでも実行できるものになっている。

実行されたマルウェアは、Chrome/Edge/Brave/Firefox 上のクッキーをスキャンし、システム情報を収集し、最終的には Facebook の認証情報を狙うことになる。

WithSecure のレポートでは、「このマルウェアは、Facebook セッション・クッキーや、セキュリティ認証情報など使用して、被害者のマシンから各種の Facebook エンドポイントとダイレクトに対話し、被害者の Facebook アカウントから情報を抽出する」と説明している。

Facebook のエンドポイントへのリクエストは、有効なセッション・クッキーを悪用するかたちで被害者のブラウザから発信されるため、本物であるように見える。

このマルウェアは、Facebook の各ページをクロールして複数のアクセス・トークンを取得し、その後のステップでエンドポイントとの対話が妨げられないようにする。

Code to generate login requests
Code to generate login requests (WithSecure)

盗まれた情報には、クッキー/IP アドレス/アカウント情報/2FA コード/ジオロケーションデータなどが含まれるため、脅威アクター自身のマシンから、このアクセスが継続されるようになる。

侵害されたアカウントから盗まれた企業情報には、検証状況/広告額上限/ユーザーリスト/顧客リスト/ID/利用通貨/支払いサイクル/使用額/adtrust DSL (動的な使用限度額) などが含まれる。

最終的に、一連のデータの流出は、Telegram ボットが設定された期間において、また、Facebook アカウントが盗まれたとき、マルウェアのプロセスが終了したとき、マルウェアがクラッシュしたときに、生じることになる。

Exfiltrated log of stolen data
Exfiltrated log of stolen data (WithSecure)

Facebook アカウントの乗っ取り

このマルウェアにより、被害者の Facebook アカウントから情報が盗まれるだけではなく、侵害した Facebook ビジネス・アカウントに、脅威アクターのメールアドレスが追加され、アカウントの乗っ取りにいたることもある。つまり、脅威アクターのアカウントに、フルアクセス権限を追加することも可能になる。

Function to add email address onto the Business account
Code to add email address onto the Business account (WithSecure)

その後に、脅威者は新たな権限を活用して、設定された財務情報を置き換え、被害企業のアカウントに支払いを指示することや、被害企業の資金で別の Facebook 広告キャンペーンを展開することも可能になる。

WithSecureは、Ducktail オペレーターの動機は金銭的なものであり、不正の発見と阻止に時間がかかる状況の下で、簡単に利益を得ようとする点にあると見ている。

注目すべきは、2022年4月に FFDroiFFDroiderder という情報窃盗犯が、今回と同様の、巧妙な自動アカウント窃盗とセッション・トークン検証の手法を用いていたことである。

大半の企業が利用している Facebook ページだけに、その担当者のアカウントが狙われるという話です。結果として、企業の広告を管理する Facebook のビジネス・アカウントが乗っ取られている訳ですが、その背景には、LinkedIn で交換される人々の専門性があります。この攻撃を調査した WithSecure が、Ducktail というコードネームで呼ばれる、新しいフィッシング・キャンペーン発見し、レポートを提供しています。メアドなどを要求せず、すぐに参照できる PDF で、この悪意のオペレーションが解析されています。よろしければ、ご参照ください。

%d bloggers like this: