Ducktail：最新的Facebook商业平台威胁

重要资讯总结

• 犯罪集团名称 ：Ducktail
• 目标 ：Facebook Business/Ads平台
• 成立时间 ：2018年，专注于Facebook的攻击自2021年起
• 主要手段 ：使用定制的恶意软件进行帐号接管和信息盗窃
• 运作地区 ：无特定地区，潜在受害者遍布欧洲、中东、非洲和北美
• 创始地点 ：越南

近日，WithSecure Intelligence 宣布，一个名为 Ducktail 的犯罪集团正针对 Facebook Business广告平台发动攻击，并利用定制的恶意软件进行网络犯罪。该集团似乎以金钱利润为动机，并自2018年以来活跃，专注于 Facebook 商业目标自2021年起。

” 无法确定该威胁行为者突破
Facebook 既有安全功能及劫持企业的成功与否。然而，该威胁行为者持续更新并推广恶意软件，试图提高其绕过新旧 Facebook 安全功能的能力。”

Ducktail 集团专攻帐号接管和信息盗窃，主要透过存放在档案共享网站上的恶意软件来钓鱼访问该平台的员工，并使用针对特定业务的诱饵。

攻击手法与运作方式

Ducktail 使用基于 .Net 的恶意软件，专门搜索 Google Chrome、Microsoft Edge、Brave 和 Firefox等浏览器中的 Cookie，包括 Facebook 令牌，并利用这些信息获取 Facebook 访问。这些恶意软件会从受害者的计算机发送 Facebook请求，伺机欺骗 Meta 的安全机制。

浏览器 | 目标教程
—|—
Google Chrome | 获取 Cookie 和 Facebook 访问令牌
Microsoft Edge | 运用钓鱼手法进行帐号接管
Brave | 盗取用户的个人数据
Firefox | 获取二步骤身份验证代码

这一恶意软件进一步扫描各种 Facebook页面，试图检索二步骤身份验证恢复代码，最新的样本还包含未使用的源码，试图生成登录访问代码。恶意软件还能窃取用户的个人资料，以及用户与商业广告帐号相关的信息，并使用
Telegram 进行数据外流。此外，它还试图将攻击者帐号添加至与商业相关的电子邮件帐号列表，进一步実现帐号接管。

WithSecure 认为 Ducktail 的活动可能来自越南。

警惕与防范

官方报告包含了 YARA 和 SIGMA 规则、ATT&CK 框架地图及其他指标，以帮助其他组织识别与防范 Ducktail的攻击行为。随著网络犯罪技术的发展，企业需加强安全防护措施，以应对此类持续演变的威胁。

如需进一步了解，推荐查看以下连结：