Une opération cybercriminelle en cours cible les professionnels du marketing numérique et des ressources humaines dans le but de détourner les comptes Facebook Business à l’aide d’un logiciel malveillant de vol de données récemment découvert.
Les chercheurs de WithSecure, l’entreprise dérivée du géant de la sécurité F-Secure, ont découvert la campagne en cours qu’ils ont surnommée Ducktail, et ont trouvé des preuves suggérant qu’un acteur menaçant vietnamien développe et distribue le malware depuis la seconde moitié de 2021. L’entreprise a ajouté que les motivations des opérations semblent être purement financières.
L’acteur de la menace commence par repérer les cibles via LinkedIn où il sélectionne les employés susceptibles d’avoir un accès de haut niveau aux comptes Facebook Business, en particulier ceux avec le niveau d’accès le plus élevé.
“Nous pensons que les opérateurs Ducktail sélectionnent avec soin un petit nombre de cibles pour augmenter leurs chances de succès et rester inaperçus”, a déclaré Mohammad Kazem Hassan Nejad, chercheur et analyste des logiciels malveillants chez WithSecure Intelligence. “Nous avons observé que des personnes occupant des postes de direction, de marketing numérique, de médias numériques et de ressources humaines dans des entreprises avaient été ciblées.”
L’auteur de la menace utilise ensuite l’ingénierie sociale pour convaincre la cible de télécharger un fichier hébergé sur un hôte cloud légitime, comme Dropbox ou iCloud. Alors que le fichier contient des mots-clés liés aux marques, aux produits et à la planification de projets pour tenter de paraître légitimes, il contient des logiciels malveillants voleurs de données qui, selon WithSecure, sont les premiers logiciels malveillants qu’ils ont vus spécifiquement conçus pour détourner des comptes Facebook Business.
Une fois installé sur le système d’une victime, le logiciel malveillant Ducktail vole les cookies du navigateur et détourne les sessions Facebook authentifiées pour voler des informations sur le compte Facebook de la victime, y compris les informations de compte, les données de localisation et les codes d’authentification à deux facteurs. Le logiciel malveillant permet également à l’auteur de la menace de détourner tout compte Facebook Business auquel la victime a un accès suffisant en ajoutant simplement son adresse e-mail au compte compromis, ce qui invite Facebook à envoyer un lien, par e-mail, à la même adresse e-mail.
“Le destinataire – dans ce cas, l’acteur de la menace – interagit ensuite avec le lien envoyé par e-mail pour accéder à cette entreprise Facebook. Ce mécanisme représente le processus standard utilisé pour accorder aux individus l’accès à une entreprise Facebook, et contourne ainsi les fonctionnalités de sécurité mises en œuvre par Meta pour se protéger contre de tels abus », explique Nejad.
Les acteurs de la menace exploitent ensuite leurs nouveaux privilèges pour remplacer les détails financiers définis du compte afin de diriger les paiements vers leurs comptes ou de lancer des campagnes publicitaires Facebook en utilisant l’argent des entreprises victimes.
WithSecure, qui a partagé ses recherches avec Meta, a déclaré qu’il était “incapable de déterminer le succès ou l’absence de succès” de la campagne Ducktail et n’a pas pu dire combien d’utilisateurs ont potentiellement été touchés, mais a noté qu’il n’a pas vu de modèle régional dans le ciblage de Ducktail, avec des victimes potentielles réparties en Europe, au Moyen-Orient, en Afrique et en Amérique du Nord.
Un porte-parole de Meta a déclaré à TechCrunch dans un communiqué : « Nous nous félicitons de la recherche en sécurité sur les menaces ciblant notre industrie. Il s’agit d’un espace hautement conflictuel et nous savons que ces groupes malveillants continueront d’essayer d’échapper à notre détection. Nous sommes conscients de ces escrocs particuliers, les opposons régulièrement et continuons à mettre à jour nos systèmes pour détecter ces tentatives. Étant donné que ce malware est généralement téléchargé hors plateforme, nous encourageons les utilisateurs à être prudents quant aux logiciels qu’ils installent sur leurs appareils.
