Зловред, ворующий аккаунты Facebook*

Наши исследователи обнаружили новую версию зловреда из семейства Ducktail, специализирующегося на краже бизнес-аккаунтов Facebook*. Использующие его злоумышленники атакуют сотрудников, либо занимающих достаточно высокие позиции в компании, либо имеющих отношение к кадровой службе, цифровому маркетингу или маркетингу в социальных сетях. И это логично: конечная цель преступников — кража доступа к корпоративному аккаунту в Facebook*, поэтому интерес для них представляют те, у кого с наибольшей вероятностью такой доступ есть. Рассказываем о том, как происходят атаки, чем они необычны и, конечно же, как от них защититься.

Приманка и вредоносная нагрузка

Своим жертвам киберпреступники, стоящие за Ducktail, рассылают архивы с вредоносами. Для усыпления бдительности жертвы в них содержится некоторое количество изображений и видеофайлов, объединенных темой, используемой злоумышленниками в качестве наживки. Например, в ходе последней кампании (активной с марта по начало октября 2023 года) темой была модная одежда: письма приходили якобы от крупнейших игроков индустрии моды, а в архивах содержались фотографии нескольких моделей одежды.

Впрочем, наиболее важная часть этих архивов — исполняемые файлы, в которых иконка имитирует изображение от документа PDF. При этом злоумышленники используют для таких файлов очень длинные названия — чтобы дополнительно отвлечь внимание жертв от расширения EXE. Имена псевдодокументов должны убедить получателя кликнуть на иконку, чтобы ознакомиться с содержимым. В кампании с моделями одежды это были некие «политики и требования к кандидатам», но в принципе там могут быть и другие стандартные уловки — прайс-листы, коммерческие предложения и так далее.

Вредоносный архив Ducktail содержит файл, который выглядит как PDF, но в действительности является EXE

После клика по замаскированному EXE-файлу на устройстве запускается вредоносный скрипт. Первым делом он действительно показывает содержимое некоего PDF-файла (зашитого в код зловреда), чтобы жертва не заподозрила неладное. В то же время он просматривает все ярлыки, содержащиеся на рабочем столе, в меню «Пуск» и на панели быстрого запуска. Зловред ищет ярлыки браузеров, основанных на движке Chromium, то есть Google Chrome, Microsoft Edge, Vivaldi, Brave и других. В них он добавляет команду на установку браузерного расширения, которое также содержится внутри исполняемого файла. Через пять минут после запуска вредоносный скрипт завершает процесс браузера, чтобы пользователь его перезапустил при помощи одного из модифицированных ярлыков.

Вредоносное браузерное расширение

После клика пользователя по ярлыку в браузер устанавливается вредоносное расширение, убедительно маскирующееся под Google Docs Offline: оно использует точно такую же иконку и идентичное описание (правда, только на английском языке, что может выдать подлог).

Вредоносное расширение, маскирующееся под Google Docs Offline (слева), и настоящее расширение «Google Документы офлайн» (справа) в браузере Google Chrome

После установки и запуска вредоносное расширение начинает постоянно следить за всеми открытыми в браузере вкладками и передавать на командный сервер злоумышленников информацию о них. Если среди открытых пользователем вкладок обнаруживается адрес, связанный с Facebook*, то во вредоносном расширении запускается процесс проверки на наличие рекламных и бизнес-аккаунтов с последующей их кражей.

Расширение ворует информацию из учетных записей Facebook*, в которые был выполнен вход на устройстве жертвы, а также сохраненные браузером куки-файлы активных сессий, позволяющие входить в аккаунт без прохождения процедуры аутентификации.

Злоумышленники, стоящие за данным зловредом, по некоторым данным, активны с 2018 года. Несколько групп исследователей предполагает, что это вьетнамская группировка. Распространением конкретно Ducktail преступники занялись в 2021 году.

Как защититься от Ducktail

Чтобы защититься от угроз, подобных Ducktail, достаточно, чтобы сотрудники следовали хорошо известным практикам цифровой гигиены. Вот о чем, в частности, нужно помнить:

• Не следует скачивать на рабочие компьютеры подозрительные архивы, ссылки на которые приходят из недоверенных источников.
• Необходимо внимательно проверять расширения всех файлов, полученных из Интернета или по электронной почте, перед тем как их открыть.
• Совершенно точно не стоит кликать по файлу, который притворяется безобидным документом, но имеет расширение EXE — это явный признак зловреда.
• Ну и, конечно же, следует использовать на всех рабочих устройствах надежную защиту. Она вовремя предупредит об опасности и заблокирует атаку. Наши решения детектируют данную угрозу с вердиктом HEUR:Trojan.Win64.Ducktail.gen.
• Индикаторы компрометации, вместе с техническим анализом зловреда, можно найти в посте на блоге Securelist.

* Facebook принадлежит компании Meta**, признанной экстремистской организацией в Российской Федерации.

** Компания Meta признана экстремистской организацией в Российской Федерации.