DUCKTAIL : Le malware infostealer qui cible les comptes professionnels Facebook
WithSecure a identifié une opération malveillante actuellement en cours, surnommée "DUCKTAIL". Elle cible les professionnels susceptibles d'avoir accès à un compte Facebook Business.
Les pirates informatiques utilisent un infostealer. Ce malware est conçu pour voler des cookies de navigateur et exploiter des sessions Facebook authentifiées : il permet aux hackers d’obtenir l’accès au compte Facebook de la victime pour, in fine, hijacker le compte Facebook Business auquel elle a potentiellement accès.
Les auteurs de cette attaque ajoutent ensuite leur adresse e-mail au compte Facebook Business en question, pour s’accorder des droits d'administrateur et d'éditeur financier. Ils disposent ainsi d'un accès illimité au compte.
D'après nos observations, les professionnels pris pour cibles occupent des postes de direction ou bien travaillent dans des services chargés du marketing numérique, des réseaux sociaux ou des ressources humaines. WithSecure a identifié plusieurs cas de figure où le malware a été transmis aux victimes via LinkedIn. D’après les indices récoltés jusqu'à présent, un groupe vietnamien aux motivations financières serait à l’origine de ces attaques.
La popularité des réseaux sociaux et des plateformes médias ne cesse de croître et les cybercriminels tentent de tirer profit de cette tendance. D'après nous, cette tendance devrait se poursuivre : les cybercriminels seront de plus en plus amenés à utiliser ces plateformes pour diffuser des malwares, lancer des campagnes de désinformation et mener des activités frauduleuses. Jusqu'à présent, les entreprises ont eu de la chance... Les attaques sur les réseaux sociaux ont souvent été d'une gravité limitée (monétisation). Pour autant, à l’avenir, les campagnes d’attaques sur les réseaux sociaux pourraient avoir un impact plus sérieux.
Un rapport complet décrivant la chronologie des activités de DUCKTAIL, une analyse détaillée de son composant malware ainsi que des annexes contenant des indicateurs de compromission, des règles de détection Yara, des métadonnées et des techniques MITRE ATT&CK sont téléchargeables à partir d'un lien proposé sur cette page.
Prévention
Comme face à toutes les campagnes malveillantes, la vigilance est la clé. De nombreuses campagnes de spear phishing ciblent les utilisateurs de LinkedIn, et si vous occupez un poste vous donnant un accès administrateur aux comptes de réseaux sociaux de votre entreprise, vous devez faire preuve de prudence lorsque vous interagissez avec d'autres individus sur les plateformes. Il va sans dire qu'il faut également faire preuve de prudence face aux pièces jointes ou aux liens envoyés par des individus que vous ne connaissez pas.
Détection
WithSecure Elements Endpoint Detection and Response
La solution WithSecure Elements Endpoint Detection and Response détecte plusieurs étapes du cycle de vie des attaques. Elle peut ainsi générer une seule alerte comportant des détections détaillées comme celles-ci :
Ducktail infostealer détecté
Téléchargement de fichiers dans un navigateur headless
Chargement du module bot Telegram Dotnet
Accès à la base de données du navigateur web
Connexion anormale à l'API Telegram
WithSecure Elements Endpoint Protection
WithSecure Elements Endpoint Protection gère plusieurs détections permettant de repérer le malware et son comportement. Assurez-vous que DeepGuard et la protection en temps réel sont activés. En cas de doute, exécutez une analyse complète sur votre endpoint. Nos produits effectuent actuellement les détections suivantes :
Trojan:W32/DuckTail.*
Trojan:W32/SuspiciousDownload.A!DeepGuard
Trojan:W32/WindowsDefenderExclusion.A!DeepGuard
Blocage des certificats malveillants
Mesures à prendre
Nous vous recommandons de passer en revue tous les utilisateurs ajoutés à votre compte Facebook Business via le Business Manager de Meta, et de révoquer l'accès des utilisateurs inconnus disposant d'un accès Admin (avec un rôle d'éditeur financier).
Comme le malware exfiltre tous les cookies de navigateur volés, nous vous suggérons également de mettre fin à toutes les sessions d'authentification de votre navigateur et de redéfinir vos identifiants de connexion.
