روابط عمومی شرکت ایدکو (توزیعکنندهی محصولات کسپرسکی در ایران)؛ بدافزار جدیدی از طریق یک کمپین فیشینگ که اکانتهای لینکدین را هدف گرفته است در حال سرقت اکانتهای Meta Facebook Business است. این بدافزار که Ducktail نام دارد از کوکیهای مرورگرِ سشنهای کاربری تأییدشده برای صاحب شدن اکانتها و سرقت دادهها استفاده میکند. با ما همراه بمانید. محققین شرکت WithSecure که پیشتر با نام F-Secure فعالیت میکرد چند روز پیش گزارش این کمپین را داد.
این کمپین ظاهراً توسط عاملین تهدیدی حمایتِ مالیشده از سوی دولت ویتنام اداره میشود. خود کمپین به نظر میرسد دست کم از نیمه وم 2021 فعال بوده باشد و این درحالیست که عاملین تهدید پشت آن شاید از سال 2018 در صحنه جرایم سایبری حضور دارند. این بدافزار طراحی شده است برای سرقت کوکیهای مرورگر و نیز سوءاستفاده از سشنهای تأییدشدهی فیسبوک برای سرقت داده از اکانت فیسبوک قربانی و در نهایت سرقت هر اکانت تجاری فیسبوک که قربانی بدان دسترسی کافی دارد.
عاملین Ducktail هدفهای بسیار خاصیدر ذهن دارند- منظور افرادی است که در بخش تجاری و تبلیغاتی فیسبوک کار میکنند؛ آنهایی که دسترسیهای رده بالا دارند. این افراد شامل مدیرها، بازاریابهای دیجیتال، مسئولین بخش رسانه دیجیتال و منابع انسانی. محققین چنین نوشتند، «این تاکتیکها احتمال دستکاری مخفی اکانتهای Facebook Business را افزایش میدهد». عاملین برای نفوذ، به کاربران لینکدین حمله میکنند و ابزار کارشان هم کمپین فیشینگ است که با استفاده از کلیدواژههای مرتبط با برندها، محصولات و برنامهریزیهای پروژه قربانیان را به سمت دانلود فایل آرشیو حاوی بدافزاری قابلاجرا فریب میدهند. در کنار بدافزار قابلاجرا تصاویر، داکیومنتها و فایلهای ویدیویی مرتبط نیز وجود دارند.
اجزای بدافزار
محققین این بدافزار جدید را حسابی وارسی کردند و پی بردند در جدیدترین نمونههایش منحصراً در فریمورک .NET Core نوشته شده و از طریق قابلیت تکفایلِ آن –چیزی که چندان میان بدافزارها رایج نیست- کامپایل شده. Ducktail به مجرد اینکه سیستمی را آلوده کرد با استفاده از 6 جزء کلیدی عمل میکند. ابتدا دست به ساختن Mutex میزند و چک میکند ببیند آیا تنها یک نمونه واحد از این بدافزار در لحظه در حال اجراست یا نه. یک ذخیرهگاه داده نیز کارش ذخیر و لود کردن دادههای سرقتی است در فایل متنی در فولدری موقتی. این درحالیست که قابلیت اسکن مرورگر نیز برایشناسایی مسیر کوکیها برای سرقت بعدی مرورگرهای نصبشده را اسکن میکند.
Ducktail همچنین دو جزء دیگر دارد مخصوص سرقت داده از قربانیها: یکی آنی که عمومیتر است و اطلاعات نامربوط به فیسبوک را میدزدد و دیگری که کارش سرقت اطلاعاتی است خاصه مرتبط با Facebook Business و اکانتهای تبلیغاتی. جزء اول کارش اسکن کردن ماشین آلوده برای گوگل کروم، اج مایکروسافت، مرورگر بریو یا فایرفاکس است و برای هر یک که پیدا کند همه کوکیهای ذخیرهشده را از جمله کوکی سشن فیسبوک را استخراج میکند. آن جزء Ducktail مخصوص استخراج داده از اکانتهای تبلیغاتی/تجاری فیسبوک نیز مستقیماً با چندین اندپوینت مختلف فیسبوکی در تعامل است (یا صفحات مستقیم فیسبوک یا اندپوینتهای API). این کار با استفاده از کوکی سشن سرقتی فیسبوک از ماشین قربانی انجام میشود. اطلاعات خاصی که این بدافزار از فیسبوک سرقت میکند عبارتند از: اطلاعات مهم امنیتی، اطلاعات شناسایی حساب شخصی، جزئیات کسب و کار و اطلاعات حساب تبلیغاتی.
Ducktail همچنین به عوامل تهدید اجازه میدهد کنترل کامل حسابهای تجاری فیسبوک را در دست بگیرند، که این میتواند به آنها امکان دسترسی به کارت اعتباری کاربر یا سایر دادههای تراکنش را برای سود مالی بدهد.
C&C تلگرام و سایر ترفندهای طفرهروی
آخرین جزء Ducktail کارش استخراج داده در کانال تلگرامی است که به عنوان C&C عاملین تهدید مورد استفاده قرار میگیرد. این به عاملین اجازه میدهد تا با محدود کردن فرمانهای که از C&C به دستگاه قربانی میفرستد، قسر در بروند و شناسایی نشوند. افزون بر این، بدافزار مذکور روی یک دستگاه مدت زیادی نمیماند که این یعنی میتواند بدون اینکه پرچم قرمزی از خود نشان دهد و توجهها را به خود جلب کند کثیفترین کارها را در مدت کوتاه انجام دهد. با این حال نسخههای مختلف Ducktail که توسط عاملین تهدید استفاده شدند این کوتاهی اقامت را به چندین روش پیاده میکنند.
محققین اینطور نوشتند، «نسخههای قدیمیتر بدافزار اجرای سادهای داشتند، فقط آنچه برایش طراحی شده بودند انجام میدادند و بعد هم خروج میکردند. اما نسخههای جدیدتر لوپی نامحدود در پسزمینه اجرا میکنند که به صورت دورهای فعالیتهای نفوذ را اجرا میکند». Ducktail همچنین قابلیتهای ذاتی نیز در جزء سرقت داده فیسبوکیاش دارد که طراحی شده برای فریب قابلیتهای امنیتی Meta: در حقیقت از نهاهای فیسبوکی درخواست داده میکند و وانمود میکند از طرف مرورگر شخصی قربانی است! از این جهت گفته میشود این اقدامات برای امنیت Meta بسیار خطرناکند و تهدید بزرگی محسوب میشوند. مهاجمین همچنین میتوانند از اطلاعاتی چون کوکیهای سرقتی سشن، توکنهای دسترسی، کدهای احراز هویت دو عاملی، یوزر ایجینتها، آدرس آیپی و ژئولوکیشن و نیز اطلاعات اکانت عمومی برای جعل هویت کاربر استفاده کنند.
منبع: کسپرسکی آنلاین (ایدکو)
کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز میشناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.
