{"id":30726,"date":"2023-12-06T09:59:32","date_gmt":"2023-12-06T07:59:32","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=30726"},"modified":"2023-12-06T09:59:32","modified_gmt":"2023-12-06T07:59:32","slug":"ducktail-steals-facebook-business-accounts","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/ducktail-steals-facebook-business-accounts\/30726\/","title":{"rendered":"Malware stiehlt Facebook-Konten"},"content":{"rendered":"

Unsere Forscher haben eine neue Version der Malware-Familie Ducktail entdeckt, die sich auf den Diebstahl von Facebook Business-Konten spezialisiert. Cyberkriminelle nutzen diese, um auf Unternehmensmitarbeiter abzuzielen, die entweder in einer h\u00f6heren Position oder in der Personalabteilung, im digitalen oder Social Media Marketing arbeiten. Das macht Sinn, denn das ultimative Ziel der Angreifer ist es, Facebook-Konten von Unternehmen zu hijacken, weshalb sie besonders an Personen interessiert sind, die einfachen Zugang zu diesen haben. Im Anschluss erkl\u00e4ren wir Ihnen, wie diese Angriffe ausgef\u00fchrt werden, was sie ungew\u00f6hnlich macht und nat\u00fcrlich, wie Sie sich sch\u00fctzen k\u00f6nnen.<\/p>\n

\u00a0<\/p>\n

K\u00f6der und sch\u00e4dliche Nutzlast<\/h2>\n

Die Cyberkriminellen hinter Ducktail versenden sch\u00e4dliche Archive an ihre Opfer. Um die Wachsamkeit des Empf\u00e4ngers zu beeintr\u00e4chtigen, enthalten diese Archive K\u00f6der in Form von Bild- und Videodateien zu einem ihm bekannten Thema. Handelte es sich bei dem Thema der j\u00fcngsten Kampagne (M\u00e4rz bis Anfang Oktober 2023) beispielsweise um Mode, wurden im Namen gro\u00dfer Modeunternehmen E-Mails verschickt, die Foto-Archive verschiedener Kleidungsstile enthielten.<\/p>\n

In den Archiven selbst befanden sich allerdings ausf\u00fchrbare Dateien, die als PDF-Dokumente getarnt waren. Diese Dateien verf\u00fcgten \u00fcber PDF-Symbole und sehr lange Dateinamen, um die Aufmerksamkeit des Opfers von der EXE-Erweiterung abzulenken und den Empf\u00e4nger so dazu zu bewegen, die gef\u00e4lschten PDF-Dateien zu \u00f6ffnen. In dieser Modekampagne bezogen sich die Namen auf \u201eRichtlinien und Anforderungen f\u00fcr Bewerber\u201c, aber andere Standardk\u00f6der k\u00f6nnen zum Beispiel Preislisten, kommerzielle Angebote usw. sein.<\/p>\n

\"Inhalte<\/a>

Das sch\u00e4dliche Ducktail-Archiv enth\u00e4lt eine Datei, die wie eine PDF-Datei aussieht, aber in Wirklichkeit eine EXE-Datei ist.<\/p><\/div>\n

\u00a0<\/p>\n

Beim \u00d6ffnen der getarnten EXE-Datei wird ein sch\u00e4dliches Skript auf dem Zielger\u00e4t ausgef\u00fchrt. Zun\u00e4chst wird tats\u00e4chlich der Inhalt einer PDF-Datei (eingebettet in den Malware-Code) angezeigt, damit das Opfer keinen Verdacht sch\u00f6pft. Gleichzeitig scannt die Malware alle Verkn\u00fcpfungen auf dem Desktop, im Startmen\u00fc und in der Schnellstartleiste. Bei den Suchobjekten handelt es sich um Shortcuts f\u00fcr Chromium-basierte Browser wie Google Chrome, Microsoft Edge, Vivaldi, Brave usw. Hat die Malware eine solche Verkn\u00fcpfung gefunden, wird diese durch das Hinzuf\u00fcgen eines Installationsbefehls f\u00fcr eine Browsererweiterung ver\u00e4ndert. 5 Minuten nach der Ausf\u00fchrung beendet das sch\u00e4dliche Skript den Browserprozess und fordert den Nutzer auf, diesen \u00fcber die modifizierte Verkn\u00fcpfung neu zu starten.<\/p>\n

\u00a0<\/p>\n

Sch\u00e4dliche Browser-Erweiterung<\/h2>\n

\u00d6ffnet der Nutzer den Shortcut, wird eine sch\u00e4dliche Erweiterung im Browser installiert, die sich \u00fcberzeugend als Google Docs Offline maskiert und genau dasselbe Symbol und dieselbe Beschreibung verwendet (allerdings nur auf Englisch, was einen Fake bereits vermuten l\u00e4sst).<\/p>\n

\"Sch\u00e4dliche<\/a>

Die sch\u00e4dliche Erweiterung, die sich als Google Docs Offline maskiert (links) und die authentische Google Docs Offline Erweiterung (rechts) im Chrome-Browser von Google<\/p><\/div>\n

\u00a0<\/p>\n

Sobald die sch\u00e4dliche Erweiterung installiert und ausgef\u00fchrt wird, f\u00e4ngt sie an, alle ge\u00f6ffneten Registerkarten des Nutzers im Browser zu \u00fcberwachen und sendet Informationen \u00fcber diese an den C2-Server des Angreifers. Findet sie eine mit Facebook verkn\u00fcpfte Adresse unter den ge\u00f6ffneten Tabs, sucht die b\u00f6sartige Erweiterung nach Werbe- und Gesch\u00e4ftskonten und hijackt diese.<\/p>\n

Die Erweiterung stiehlt Informationen von Facebook-Konten, mit denen das Opfer auf seinem Ger\u00e4t angemeldet ist, sowie vom Browser gespeicherte aktive Sitzungscookies, die zur Anmeldung bei diesen Konten ohne Authentifizierung verwendet werden k\u00f6nnen.<\/p>\n

Die Gruppe hinter der Malware ist Berichten zufolge<\/a> bereits seit 2018 aktiv. Diverse<\/a> Forschungsteams gehen davon aus, dass sie vietnamesischen Ursprungs ist. Die Verbreitung von Ducktail kann auf das Jahr 2021 beschr\u00e4nkt werden.<\/p>\n

\u00a0<\/p>\n

So sch\u00fctzen Sie sich vor Ducktail<\/h2>\n

Um sich vor Ducktail und \u00e4hnlichen Bedrohungen zu sch\u00fctzen, m\u00fcssen Mitarbeiter auf eine grundlegende digitale Hygiene achten. Im Besonderen:<\/p>\n