Die Infostealer-Malware „Ducktail“ hat es auf Facebook-Business-Profile und die dahinterstehenden Personen und Unternehmen abgesehen. Die Schadsoftware wird über E-Mails versendet. Die Hacker:innen erbeuten mit ihr die Zugangsdaten für die Facebook-Konten: Ziel ist es, die zu kapern und darüber mehr Malware, Desinformationen oder Betrug zu verbreiten. Es ist das erste Mal, dass Facebook-Business-Konten betroffen sind – in Deutschland soll die Malware noch nicht agieren.
IT-Sicherheitsfirma entdeckt Infostealer-Malware
Entdeckt wurde das Sicherheitsrisiko von Mitarbeiter:innen der IT-Sicherheitsfirma Withsecure. Sie haben Ducktail schon seit Längerem im Blick: Seit fast einem Jahr soll die Schadsoftware entwickelt und verbreitet werden. Die Köpfe dahinter sollen aus Vietnam stammen. Sie suchen gezielt Personen, die Zugang zu einem Facebook-Business-Konto bei Linkedin haben. Betroffene werden dann mit Spear-Phising-Angriffen attackiert.
Die Schadsoftware, die in .Net Core geschrieben ist, soll auf einem öffentlichen Cloud-Speicherdienst gehostet werden. Die Malware wird als Archivdatei mit Bildern, Videos und Dokumenten ausgespielt, die mit Marketing-relevanten Keywords benannt sind.
„Ducktail“ greift Browser-Cookies ab
Hat der oder die Angegriffene auf die Datei in der E-Mail geklickt, landet sie im Computersystem des Opfers. Dort hat sie es auf Browser-Cookies von Google Chrome, Microsoft Edge, Brave Browser und Firefox abgesehen. Authentifizierte Facebook-Sitzungen sind ihre Quelle für Konto-Informationen. Aus diesem Daten-Mix erschleicht sie sich den Zugang zum betroffenen Facebook-Business-Konto.
Dann geht es weiter: Die Malware will den Hacker:innen den Kontozugriff geben. Dafür nutzt sie eine Standardfunktion von Facebook, um per E-Mail neue Konten zu einem Business-Profil hinzuzufügen. So werden auch Sicherheitsfunktionen umgangenen.
Angreifer:innen weisen sich selbst Kontorechte zu
Ist der Zugriff geglückt, weisen die Angreifer:innen sich mithilfe von Ducktail selbst die Administrator- und Finanzrechte des Business-Kontos zu. Mit dem uneingeschränkten Profil-Zugang können die Hacker:innen dann weiter ihr Unwesen treiben.
Ihre Entdeckung haben die Sicherheitsforscher:innen an den Facebook-Konzern Meta weitergegeben – der veröffentlichte dazu ein Statement. Laut dem begrüße Meta die Sicherheitsforschung, „die sich mit den Bedrohungen für unsere Branche befasst“, heißt es darin.
Meta-Empfehlung: Vorsicht bei der Softwareinstallation
Es sei bekannt, dass „bösartige Gruppen“ versuchen, den Sicherheitskontrollen zu entgehen. „Wir sind uns dieser speziellen Betrüger bewusst, gehen regelmäßig gegen sie vor und aktualisieren ständig unsere Systeme, um diese Versuche zu erkennen. Da diese Schadsoftware in der Regel plattformunabhängig heruntergeladen wird, empfehlen wir den Nutzern, vorsichtig zu sein, welche Software sie auf ihren Geräten installieren“, so Meta.