روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ بدافزار جدیدی از طریق یک کمپین فیشینگ که اکانت‌های لینکدین را هدف گرفته است در حال سرقت اکانت‌های Meta Facebook Business است. این بدافزار که Ducktail نام دارد از کوکی‌های مرورگرِ سشن‌های کاربری تأییدشده برای صاحب شدن اکانت‌ها و سرقت داده‌ها استفاده می‌کند. با ما همراه بمانید. محققین شرکت WithSecure که پیشتر با نام F-Secure فعالیت می‌کرد چند روز پیش گزارش این کمپین را داد.

این کمپین ظاهراً توسط عاملین تهدیدی حمایتِ مالی‌شده از سوی دولت ویتنام اداره می‌شود. خود کمپین به نظر می‌رسد دست کم از نیمه وم 2021 فعال بوده باشد و این درحالیست که عاملین تهدید پشت آن شاید از سال 2018 در صحنه جرایم سایبری حضور دارند. این بدافزار طراحی شده است برای سرقت کوکی‌های مرورگر و نیز سوءاستفاده از سشن‌های تأییدشده‌ی فیسبوک برای سرقت داده از اکانت فیسبوک قربانی و در نهایت سرقت هر اکانت تجاری فیسبوک که قربانی بدان دسترسی کافی دارد.

عاملین Ducktail هدف‌های بسیار خاصیدر ذهن دارند- منظور افرادی است که در بخش تجاری و تبلیغاتی فیسبوک کار می‌کنند؛ آن‌هایی که دسترسی‌های رده بالا دارند. این‌ افراد شامل مدیرها، بازاریاب‌های دیجیتال، مسئولین بخش رسانه دیجیتال و منابع انسانی. محققین چنین نوشتند، «این تاکتیک‌ها احتمال دستکاری مخفی اکانت‌های Facebook Business را افزایش می‌دهد». عاملین برای نفوذ، به کاربران لینکدین حمله می‌کنند و ابزار کارشان هم کمپین فیشینگ است که با استفاده از کلیدواژه‌های مرتبط با برندها، محصولات و برنامه‌ریزی‌های پروژه قربانیان را به سمت دانلود فایل آرشیو حاوی بدافزاری قابل‌اجرا فریب می‌دهند. در کنار بدافزار قابل‌اجرا تصاویر، داکیومنت‌ها و فایل‌های ویدیویی مرتبط نیز وجود دارند. 

اجزای بدافزار

محققین این بدافزار جدید را حسابی وارسی کردند و پی بردند در جدیدترین نمونه‌هایش منحصراً در فریم‌ورک .NET Core نوشته شده و از طریق قابلیت تک‌فایلِ آن –چیزی که چندان میان بدافزارها رایج نیست- کامپایل شده.  Ducktail به مجرد اینکه سیستمی را آلوده کرد با استفاده از 6 جزء کلیدی عمل می‌کند. ابتدا دست به ساختن Mutex می‌زند و چک می‌کند ببیند آیا تنها یک نمونه واحد از این بدافزار در لحظه در حال اجراست یا نه. یک ذخیره‌گاه داده نیز کارش ذخیر و لود کردن داده‌های سرقتی است در فایل متنی در فولدری موقتی. این درحالیست که قابلیت اسکن مرورگر نیز برایشناسایی مسیر کوکی‌ها برای سرقت بعدی مرورگرهای نصب‌شده را اسکن می‌کند.

Ducktail همچنین دو جزء دیگر دارد مخصوص سرقت داده از قربانی‌ها: یکی آنی که عمومی‌تر است و اطلاعات نامربوط به فیسبوک را می‌دزدد و دیگری که کارش سرقت اطلاعاتی است خاصه مرتبط با Facebook Business و اکانت‌های تبلیغاتی. جزء اول کارش اسکن کردن ماشین آلوده برای گوگل کروم، اج مایکروسافت، مرورگر بریو یا فایرفاکس است و برای هر یک که پیدا کند همه کوکی‌های ذخیره‌شده را از جمله کوکی سشن فیسبوک را استخراج می‌کند. آن جزء Ducktail مخصوص استخراج داده از اکانت‌های تبلیغاتی/تجاری فیسبوک نیز مستقیماً با چندین اندپوینت مختلف فیسبوکی در تعامل است (یا صفحات مستقیم فیسبوک یا اندپوینت‌های API). این کار با استفاده از کوکی سشن سرقتی فیسبوک از ماشین قربانی انجام می‌شود. اطلاعات خاصی که این بدافزار از فیسبوک سرقت می‌کند عبارتند از: اطلاعات مهم امنیتی، اطلاعات شناسایی حساب شخصی، جزئیات کسب و کار و اطلاعات حساب تبلیغاتی.

Ducktail همچنین به عوامل تهدید اجازه می‌دهد کنترل کامل حساب‌های تجاری فیسبوک را در دست بگیرند، که این می‌تواند به آنها امکان دسترسی به کارت اعتباری کاربر یا سایر داده‌های تراکنش را برای سود مالی بدهد.

C&C تلگرام و سایر ترفندهای طفره‌روی

آخرین جزء  Ducktail کارش استخراج داده در کانال تلگرامی است که به عنوان C&C عاملین تهدید مورد استفاده قرار می‌گیرد. این به عاملین اجازه می‌دهد تا با محدود کردن فرمان‌های که از C&C به دستگاه قربانی می‌فرستد، قسر در بروند و شناسایی نشوند. افزون بر این، بدافزار مذکور روی یک دستگاه مدت زیادی نمی‌ماند که این یعنی می‌تواند بدون اینکه پرچم قرمزی از خود نشان دهد و توجه‌ها را به خود جلب کند کثیف‌ترین کارها را در مدت کوتاه انجام دهد. با این حال نسخه‌های مختلف Ducktail  که توسط عاملین تهدید استفاده شدند این کوتاهی اقامت را به چندین روش پیاده می‌کنند.

محققین اینطور نوشتند، «نسخه‌های قدیمی‌تر بدافزار اجرای ساده‌ای داشتند، فقط آنچه برایش طراحی شده بودند انجام می‌دادند و بعد هم خروج می‌کردند. اما نسخه‌های جدیدتر لوپی نامحدود در پس‌زمینه اجرا می‌کنند که به صورت دوره‌ای فعالیت‌های نفوذ را اجرا می‌کند». Ducktail همچنین قابلیت‌های ذاتی نیز در جزء سرقت داده فیسبوکی‌اش دارد که طراحی شده برای فریب قابلیت‌های امنیتی Meta: در حقیقت از نهاهای فیسبوکی درخواست داده می‌کند و وانمود می‌کند از طرف مرورگر شخصی قربانی است! از این جهت گفته می‌شود این اقدامات برای امنیت Meta بسیار خطرناکند و تهدید بزرگی محسوب می‌شوند. مهاجمین همچنین می‌توانند از اطلاعاتی چون کوکی‌های سرقتی سشن، توکن‌های دسترسی، کدهای احراز هویت دو عاملی، یوزر ایجینت‌ها، آدرس آی‌پی و ژئولوکیشن و نیز اطلاعات اکانت عمومی برای جعل هویت کاربر استفاده کنند.

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.