Cyberthreat.id – Peniliti Keamanan dari WithSecure menemukan kampanye phising baru dengan nama sandi 'Ducktail', yang menargetkan para profesional di LinkedIn untuk mengambil alih akun bisnis Facebook yang mengelola iklan untuk perusahaan.

Dikutip dari Bleeping Computer, para peneliti meyakini bahwa kampanye ini dilakukan oleh aktor ancaman Vietnam sejak 2021, dan mereka juga mengumpulkan bukti aktivitas sejak tahun 2018. Ini berarti bahwa Ducktail telah berlangsung setidaknya selama satu tahun dan mungkin telah aktif selama hampir empat tahun sekarang.

Menurut para peneliti, operator Ducktail memiliki cakupan penargetan yang sempit dan memilih korban mereka dengan hati-hati. Melalui kampanye ini, mereka mencoba untuk menemukan orang yang memiliki hak istimewa admin di akun media sosial bisnis mereka.

Pelaku ancaman mencoba untuk menjangkau karyawan di LinkedIn yang dapat memiliki akses akun bisnis Facebook, dari karyawan yang bekerja dibagian media digital dan pemasaran digital. Sebagai bagian dari percakapan dengan target potensial, pelaku ancaman menggunakan rekayasa sosial dan penipuan untuk meyakinkan mereka agar mengunduh file yang dihosting di layanan hosting cloud yang sah seperti Dropbox atau iCloud.

Arsip yang diunduh berisi file gambar JPEG yang relevan dengan diskusi antara scammer dan karyawan, tetapi juga menyertakan file yang dapat dieksekusi yang dibuat agar tampak seperti dokumen PDF. File ini sebenarnya adalah malware .NET Core yang berisi semua dependensi yang diperlukan, memungkinkannya berjalan di komputer mana pun, bahkan yang tidak menginstal .NET runtime. Saat dijalankan, malware memindai cookie browser di Chrome, Edge, Brave, dan Firefox, mengumpulkan informasi sistem, dan akhirnya menargetkan kredensial Facebook.

“Malware berinteraksi langsung dengan berbagai titik akhir Facebook dari mesin korban menggunakan cookie sesi Facebook (dan kredensial keamanan lainnya yang diperoleh melalui cookie sesi awal) untuk mengekstrak informasi dari akun Facebook korban,” jelas peneliti WithSecure dalam laporan tersebut.

Permintaan ke titik akhir Facebook tampak asli karena berasal dari browser korban menggunakan cookie sesi yang valid. Malware kemudian akan merayapi berbagai halaman Facebook untuk menangkap beberapa token akses dan menggunakannya untuk interaksi titik akhir yang tidak terhalang pada tahap selanjutnya.

Informasi yang dicuri termasuk cookie, alamat IP, informasi akun (nama, email, tanggal lahir, ID pengguna), kode 2FA, dan data geolokasi, yang pada dasarnya memungkinkan pelaku ancaman untuk melanjutkan akses ini dari mesin mereka.

Detail khusus bisnis yang dicuri dari akun yang disusupi termasuk status verifikasi, batas iklan, daftar pengguna, daftar klien, ID, mata uang, siklus pembayaran, jumlah yang dibelanjakan, dan DSL adtrust (batas pembelanjaan dinamis).

“Data akhirnya dieksfiltrasi melalui bot Telegram dan terjadi di antara periode yang ditentukan, atau ketika akun Facebook dicuri, proses malware keluar, atau ketika malware berhenti,” kata peneliti.

Malware tidak hanya mencuri informasi dari akun Facebook korban, tetapi juga membajaknya dengan menambahkan alamat email pelaku ancaman ke akun Facebook Business yang disusupi. Saat menambahkan pengguna, mereka menambahkan izin yang memungkinkan pelaku ancaman akses penuh ke akun.

Pelaku ancaman kemudian memanfaatkan hak istimewa baru mereka untuk mengganti rincian keuangan yang ditetapkan sehingga mereka dapat mengarahkan pembayaran ke akun mereka atau menjalankan kampanye Iklan Facebook dengan uang dari perusahaan yang menjadi korban.

WithSecure percaya bahwa motif operator Ducktail adalah finansial, mencari keuntungan dengan mudah di lingkungan yang membutuhkan waktu untuk menemukan penipuan dan menghentikannya. Mereka bahkan melihat pencurian akun otomatis yang sama canggihnya dan pendekatan verifikasi token sesi dari pencuri informasi bernama FFDroider pada April 2022.