„Ducktail“: Infostealer-Malware greift Facebook-Business-Konten an

Facebook Business wird zum Beispiel für das Campaign-Management genutzt. (Foto: IB Photography / Shutterstock)
Die Infostealer-Malware „Ducktail“ hat es auf Facebook-Business-Profile und die dahinterstehenden Personen und Unternehmen abgesehen. Die Schadsoftware wird über E-Mails versendet. Die Hacker:innen erbeuten mit ihr die Zugangsdaten für die Facebook-Konten: Ziel ist es, die zu kapern und darüber mehr Malware, Desinformationen oder Betrug zu verbreiten. Es ist das erste Mal, dass Facebook-Business-Konten betroffen sind – in Deutschland soll die Malware noch nicht agieren.
Entdeckt wurde das Sicherheitsrisiko von Mitarbeiter:innen der IT-Sicherheitsfirma Withsecure. Sie haben Ducktail schon seit Längerem im Blick: Seit fast einem Jahr soll die Schadsoftware entwickelt und verbreitet werden. Die Köpfe dahinter sollen aus Vietnam stammen. Sie suchen gezielt Personen, die Zugang zu einem Facebook-Business-Konto bei Linkedin haben. Betroffene werden dann mit Spear-Phising-Angriffen attackiert.
Die Schadsoftware, die in .Net Core geschrieben ist, soll auf einem öffentlichen Cloud-Speicherdienst gehostet werden. Die Malware wird als Archivdatei mit Bildern, Videos und Dokumenten ausgespielt, die mit Marketing-relevanten Keywords benannt sind.
Hat der oder die Angegriffene auf die Datei in der E-Mail geklickt, landet sie im Computersystem des Opfers. Dort hat sie es auf Browser-Cookies von Google Chrome, Microsoft Edge, Brave Browser und Firefox abgesehen. Authentifizierte Facebook-Sitzungen sind ihre Quelle für Konto-Informationen. Aus diesem Daten-Mix erschleicht sie sich den Zugang zum betroffenen Facebook-Business-Konto.
Dann geht es weiter: Die Malware will den Hacker:innen den Kontozugriff geben. Dafür nutzt sie eine Standardfunktion von Facebook, um per E-Mail neue Konten zu einem Business-Profil hinzuzufügen. So werden auch Sicherheitsfunktionen umgangenen.
Ist der Zugriff geglückt, weisen die Angreifer:innen sich mithilfe von Ducktail selbst die Administrator- und Finanzrechte des Business-Kontos zu. Mit dem uneingeschränkten Profil-Zugang können die Hacker:innen dann weiter ihr Unwesen treiben.
Ihre Entdeckung haben die Sicherheitsforscher:innen an den Facebook-Konzern Meta weitergegeben – der veröffentlichte dazu ein Statement. Laut dem begrüße Meta die Sicherheitsforschung, „die sich mit den Bedrohungen für unsere Branche befasst“, heißt es darin.
Es sei bekannt, dass „bösartige Gruppen“ versuchen, den Sicherheitskontrollen zu entgehen. „Wir sind uns dieser speziellen Betrüger bewusst, gehen regelmäßig gegen sie vor und aktualisieren ständig unsere Systeme, um diese Versuche zu erkennen. Da diese Schadsoftware in der Regel plattformunabhängig heruntergeladen wird, empfehlen wir den Nutzern, vorsichtig zu sein, welche Software sie auf ihren Geräten installieren“, so Meta.
Bitte beachte unsere Community-Richtlinien
Wir freuen uns über kontroverse Diskussionen, die gerne auch mal hitzig geführt werden dürfen. Beleidigende, grob anstößige, rassistische und strafrechtlich relevante Äußerungen und Beiträge tolerieren wir nicht. Bitte achte darauf, dass du keine Texte veröffentlichst, für die du keine ausdrückliche Erlaubnis des Urhebers hast. Ebenfalls nicht erlaubt ist der Missbrauch der Webangebote unter t3n.de als Werbeplattform. Die Nennung von Produktnamen, Herstellern, Dienstleistern und Websites ist nur dann zulässig, wenn damit nicht vorrangig der Zweck der Werbung verfolgt wird. Wir behalten uns vor, Beiträge, die diese Regeln verletzen, zu löschen und Accounts zeitweilig oder auf Dauer zu sperren.
Trotz all dieser notwendigen Regeln: Diskutiere kontrovers, sage anderen deine Meinung, trage mit weiterführenden Informationen zum Wissensaustausch bei, aber bleibe dabei fair und respektiere die Meinung anderer. Wir wünschen Dir viel Spaß mit den Webangeboten von t3n und freuen uns auf spannende Beiträge.
Dein t3n-Team