Malware stiehlt Facebook-Konten

Wie Angreifer infizierte Archive und schädliche Browser-Erweiterungen nutzen, um Facebook Business-Konten zu entwenden.

Unsere Forscher haben eine neue Version der Malware-Familie Ducktail entdeckt, die sich auf den Diebstahl von Facebook Business-Konten spezialisiert. Cyberkriminelle nutzen diese, um auf Unternehmensmitarbeiter abzuzielen, die entweder in einer höheren Position oder in der Personalabteilung, im digitalen oder Social Media Marketing arbeiten. Das macht Sinn, denn das ultimative Ziel der Angreifer ist es, Facebook-Konten von Unternehmen zu hijacken, weshalb sie besonders an Personen interessiert sind, die einfachen Zugang zu diesen haben. Im Anschluss erklären wir Ihnen, wie diese Angriffe ausgeführt werden, was sie ungewöhnlich macht und natürlich, wie Sie sich schützen können.

 

Köder und schädliche Nutzlast

Die Cyberkriminellen hinter Ducktail versenden schädliche Archive an ihre Opfer. Um die Wachsamkeit des Empfängers zu beeinträchtigen, enthalten diese Archive Köder in Form von Bild- und Videodateien zu einem ihm bekannten Thema. Handelte es sich bei dem Thema der jüngsten Kampagne (März bis Anfang Oktober 2023) beispielsweise um Mode, wurden im Namen großer Modeunternehmen E-Mails verschickt, die Foto-Archive verschiedener Kleidungsstile enthielten.

In den Archiven selbst befanden sich allerdings ausführbare Dateien, die als PDF-Dokumente getarnt waren. Diese Dateien verfügten über PDF-Symbole und sehr lange Dateinamen, um die Aufmerksamkeit des Opfers von der EXE-Erweiterung abzulenken und den Empfänger so dazu zu bewegen, die gefälschten PDF-Dateien zu öffnen. In dieser Modekampagne bezogen sich die Namen auf „Richtlinien und Anforderungen für Bewerber“, aber andere Standardköder können zum Beispiel Preislisten, kommerzielle Angebote usw. sein.

Inhalte des schädlichen Ducktail-Archivs

Das schädliche Ducktail-Archiv enthält eine Datei, die wie eine PDF-Datei aussieht, aber in Wirklichkeit eine EXE-Datei ist.

 

Beim Öffnen der getarnten EXE-Datei wird ein schädliches Skript auf dem Zielgerät ausgeführt. Zunächst wird tatsächlich der Inhalt einer PDF-Datei (eingebettet in den Malware-Code) angezeigt, damit das Opfer keinen Verdacht schöpft. Gleichzeitig scannt die Malware alle Verknüpfungen auf dem Desktop, im Startmenü und in der Schnellstartleiste. Bei den Suchobjekten handelt es sich um Shortcuts für Chromium-basierte Browser wie Google Chrome, Microsoft Edge, Vivaldi, Brave usw. Hat die Malware eine solche Verknüpfung gefunden, wird diese durch das Hinzufügen eines Installationsbefehls für eine Browsererweiterung verändert. 5 Minuten nach der Ausführung beendet das schädliche Skript den Browserprozess und fordert den Nutzer auf, diesen über die modifizierte Verknüpfung neu zu starten.

 

Schädliche Browser-Erweiterung

Öffnet der Nutzer den Shortcut, wird eine schädliche Erweiterung im Browser installiert, die sich überzeugend als Google Docs Offline maskiert und genau dasselbe Symbol und dieselbe Beschreibung verwendet (allerdings nur auf Englisch, was einen Fake bereits vermuten lässt).

Schädliche Browser-Erweiterung

Die schädliche Erweiterung, die sich als Google Docs Offline maskiert (links) und die authentische Google Docs Offline Erweiterung (rechts) im Chrome-Browser von Google

 

Sobald die schädliche Erweiterung installiert und ausgeführt wird, fängt sie an, alle geöffneten Registerkarten des Nutzers im Browser zu überwachen und sendet Informationen über diese an den C2-Server des Angreifers. Findet sie eine mit Facebook verknüpfte Adresse unter den geöffneten Tabs, sucht die bösartige Erweiterung nach Werbe- und Geschäftskonten und hijackt diese.

Die Erweiterung stiehlt Informationen von Facebook-Konten, mit denen das Opfer auf seinem Gerät angemeldet ist, sowie vom Browser gespeicherte aktive Sitzungscookies, die zur Anmeldung bei diesen Konten ohne Authentifizierung verwendet werden können.

Die Gruppe hinter der Malware ist Berichten zufolge bereits seit 2018 aktiv. Diverse Forschungsteams gehen davon aus, dass sie vietnamesischen Ursprungs ist. Die Verbreitung von Ducktail kann auf das Jahr 2021 beschränkt werden.

 

So schützen Sie sich vor Ducktail

Um sich vor Ducktail und ähnlichen Bedrohungen zu schützen, müssen Mitarbeiter auf eine grundlegende digitale Hygiene achten. Im Besonderen:

  • Laden Sie niemals verdächtige Archive auf Ihren Arbeitsplatzrechner herunter, wenn die Links aus nicht vertrauenswürdigen Quellen stammen.
  • Überprüfen Sie vor dem Öffnen sorgfältig die Erweiterungen aller aus dem Internet oder per E-Mail heruntergeladenen Dateien.
  • Klicken Sie niemals auf eine Datei, die wie ein harmloses Dokument aussieht, aber eine EXE-Erweiterung aufweist – dies ist ein eindeutiges Zeichen für Schadsoftware.
  • Installieren Sie immer eine zuverlässige Schutzlösung auf allen Arbeitsgeräten. So werden Sie vor möglichen Gefahren gewarnt und Angriffe rechtzeitig abgewehrt. Unsere Lösungen erkennen diese Bedrohung wie folgt: Trojan.Win64.Ducktail.gen.

 

Tipps