针对脸书商业和广告账户的新Ducktail Infostealer恶意软件

鸭尾旨在夺取控制权，作为财务驱动的网络犯罪行动的一部分。

芬兰网络安全公司WithSecure（前身为F-Secure Business）在一份新报告中表示：“威胁行为人的目标是可能使用信息窃取者恶意软件访问Facebook商业帐户的个人和员工”。

“该恶意软件旨在窃取浏览器cookies，并利用经过身份验证的Facebook会话从受害者的Facebook帐户窃取信息，最终劫持受害者有足够访问权限的任何Facebook商业帐户”。

据称，这些袭击事件是由一名越南威胁行为人发起的，开始于2021下半年，主要目标是在公司担任管理、数字营销、数字媒体和人力资源角色的个人。

这个想法是针对那些能够访问与其组织相关的Facebook商业账户的员工，诱使他们下载Dropbox、Apple iCloud和MediaFire上托管的所谓Facebook广告信息。

一种在.NET内核中编写的信息窃取恶意软件，二进制被设计为使用电报进行命令和控制以及数据过滤。Wissecure表示，它确定了用于此目的的八个电报通道。

它的工作原理是扫描已安装的浏览器，如谷歌浏览器、微软边缘、勇敢浏览器和Mozilla Firefox，以提取所有存储的Cookie和访问令牌，同时从受害者的个人Facebook帐户中窃取信息，如姓名、电子邮件地址、出生日期和用户ID。

还盗取了与受害者个人账户相连的企业和广告账户的数据，允许对手通过添加从电报频道检索到的演员控制的电子邮件地址来劫持账户，并授予自己管理员和财务编辑访问权限。

虽然具有管理员角色的用户可以完全控制Facebook商业账户，但具有财务编辑权限的用户可以编辑商业信用卡信息和财务详细信息，如交易、发票、账户支出和付款方式。

由WITHESCURE收集的遥测数据显示，全球目标定位模式跨越多个国家，包括菲律宾、印度、沙特阿拉伯、意大利、德国、瑞典和芬兰。

尽管如此，该公司指出，它“无法确定Ducktail活动的成功与否”，并补充说，它无法确定有多少用户可能受到矛式网络钓鱼操作的影响。

建议脸书业务管理员审查其访问权限，并删除任何未知用户以保护帐户安全。

英特尔471周二表示：“网络罪犯主要与信息窃取者一起使用，他们已经找到了利用这些平台托管、分发和执行各种功能的方法，这些功能最终允许他们从毫无戒心的用户那里窃取凭据或其他信息”。