WithSecure vient de découvrir une opération en cours, surnommée Ducktail, qui cible les individus et les organisations qui opèrent sur la plateforme Business et Ads de Facebook. L’enquête des limiers de Withsecure révèle que l’acteur de la menace a développé et distribué activement des charges malveillantes liées à l’opération DUCKTAIL depuis la seconde moitié de 2021. « Des éléments de preuve suggèrent que l’acteur de la menace pourrait avoir été actif dans l’espace cybercriminel dès la fin 2018 », affirme l’éditeur de cybersécurité.
Les cybermalfaiteurs ciblent les individus et les employés qui peuvent avoir accès à un compte Facebook Business avec un maliciel voleur d’informations. Le maliciel est conçu pour voler les cookies du navigateur et profiter des sessions Facebook authentifiées pour voler des informations du compte Facebook de la victime et détourner tout compte Facebook Business auquel la victime a accès.
« Nous pensons que les opérateurs de Ducktail sélectionnent soigneusement un petit nombre de cibles, pour augmenter leurs chances de réussite tout en restant inaperçus. Les professionnels pris pour cible opèrent à des postes de direction ou bien dans le marketing, le community management ou les ressources humaines », explique Mohammad Kazem Hassan Nejad, chercheur pour WithSecure Intelligence. L’équipe de détection et de réponse a identifié des cas où le maliciel a été transmis aux victimes par le biais de LinkedIn. Ces tactiques augmenteraient les chances de compromettre les entreprises tout en passant sous le radar.
Un mécanisme de livraison via des fichiers infectés
La charge malveillante était souvent livrée sous forme de fichier d’archive qui contient l’exécutable ainsi que des images, des documents et des fichiers vidéo. Le contenu et les noms de fichiers étaient élaborés pour inciter les victimes à cliquer dessus. Ils utilisent généralement des dénominations liées à des marques, des produits, et à la planification de projets. En voici quelques exemples : project development plan, project information, products.pdf.exe, new project l’oréal budget business plan .exe, etc.
Outre le fait que le maliciel est écrit en .NET Core et compilé à l’aide de sa fonction de fichier unique, qui permet de regrouper toutes les bibliothèques et tous les fichiers dépendants en un seul exécutable, les enquêteurs ont noté que le maliciel n’établit pas de persistance sur la machine. Les anciennes versions du maliciel s’exécutent simplement, font ce pour quoi elles ont été conçues, puis se retirent. Les versions plus récentes exécutent une boucle infinie en arrière-plan qui effectue périodiquement des activités d’exfiltration.
Meta est au courant, mais ne peut pas faire grand-chose
Un fonctionnement qui lui permet d’exfiltrer les nouveaux cookies du navigateur et toute mise à jour du compte Facebook de la victime, par exemple lorsque de nouveaux utilisateurs sont ajoutés à une page professionnelle, lorsque le système 2FA, ou l’authentification à double facteur, est ajouté ou modifié.
Prévenu par WithSecure, Meta, par l’intermédiaire d’un porte-parole, a fait la déclaration suivante : « Nous connaissons ces escrocs en particulier, nous les combattons régulièrement et nous continuons à mettre à jour nos systèmes pour détecter ces tentatives. Comme ces logiciels malveillants sont généralement téléchargés hors plateforme, nous encourageons les utilisateurs à faire preuve de prudence quant aux logiciels qu’ils installent sur leurs appareils ».