フィンランドのWithSecure(ウィズセキュア、旧社名: F-Secure)は7月26日、Facebookの広告およびビジネスアカウントを利用する個人/企業を攻撃対象として進行中の「DUCKTAIL」と命名されたサイバー攻撃オペレーションを発見したと明らかにした。

同社は収集データと分析にもとづき、同オペレーションがベトナムのサイバー攻撃者によって行われていると強く確信しているほか、一連の証拠から攻撃者の動機は金銭的なものであることが濃厚だとの認識を示す。

DUCKTAILは、Facebookビジネスアカウントを乗っ取るために特別に設計された機能を含むインフォスティーラー型マルウェアコンポーネントを利用。こうした機能はウィズセキュアが知る限りでは初であり、これまでのFacebookを主なターゲットとしたマルウェアとは一線を画しているという。

同マルウェアはブラウザのクッキーを盗み、認証されたFacebookのセッションを利用して、被害者のFacebookアカウントから情報を盗み、最終的には被害者がアクセスできるあらゆるFacebookビジネスアカウントを乗っ取るよう設計されている。

まずはLinkedIn内において、Facebookビジネスアカウントに高位のアクセス権(特に管理者権限)を持つユーザーを探し、フィッシングを行う。

  • DUCKTAILの攻撃ルート・手法

    DUCKTAILの攻撃ルート・手法

発見当初、DUCKTAILは未知のマルウェアとされていたが、同社が動向の追跡と分析を行ったところ、攻撃者が2021年後半からDUCKTAILと連携したマルウェアの開発・配布を行っていることが判明した。

DUCKTAILのオペレーションは、その後もマルウェアの更新と配布を続け、実装された他の機能とともに、既存のまたは新しいFacebookのセキュリティ機能をバイパスする能力を向上させようとしているという。

  • DUCKTAILの実行ロジック

    DUCKTAILの実行ロジック

ウィズセキュアでは自社のEPP(エンドポイント保護プラットフォーム)やED(エンドポイントでの検知と対応)ソリューションにおいて、静的および振る舞い検知シグネチャ、攻撃ライフサイクルの複数のステージに対する検知機能を備えているが、ユーザーが被害者にならないためには強い警戒心を持つことが重要であると喚起している。

ソーシャルネットワークやメディアプラットフォームの利用は、引き続き上昇傾向にあり、こうした状況に乗じてマルウェアの配布・窃盗・情報操作・詐欺など、プラットフォームを悪用して利益を得る方法を探している。

FacebookのようなSNSを標的としたマルウェアは、SNSのプラットフォームが実装しているセキュリティメカニズムにより、これまではあまり見られないケースだったものの、Facebookは広範な活動範囲とユーザベースから、攻撃者にとっては格好の攻撃ベクトルとなっているという。