Cyberattacken auf Metas Werbe-Ökosystem nehmen gravierend zu

Pressemitteilung |  5. September 2023

Angriff mit der Flügelzange: DUCKTAIL und DUCKPORT nehmen Meta und Facebook ins Visier. Auch X (ehemals Twitter) wird zur Zielscheibe. WithSecure-Studie zeigt auf: Die Spur führt wieder nach Vietnam.

Die Verbreitung der Infostealer-Malware DUCKTAIL nimmt seit Beginn dieses Jahres in einem noch nie dagewesen Ausmaß zu. Zeitgleich macht sich noch eine weitere Bedrohung breit: DUCKPORT hat beträchtliche Überschneidungen mit DUCKTAIL, aber auch signifikante Unterschiede, die es rechtfertigen, sie als separate Bedrohung zu betrachten. Dies zeigt die neue Studie „Meet the Ducks“ von WithSecure (vormals F-Secure Business). Beide Cybercrime-Operationen haben Metas Werbe-Ökosystem zur Zielscheibe. Beide haben es auf das Kapern von Unternehmenskonten abgesehen. Und bei beiden ist das Epizentrum Vietnam.

Die berüchtigte DUCKTAIL-Operation läuft bereits seit 2021. Nachdem WithSecure letztes Jahr zweimal darüber berichtete, hielten die Cyber-Gangs jeweils für einige Zeit die Füße still. Doch seit Februar 2023 ist eine beispiellos angestiegene Verbreitung der Infostealer-Malware zu beobachten. Dabei scheinen sich die Aktionen vermehrt auch auf andere wichtige Plattformen wie X (ehemals Twitter) auszuweiten. Die Fähigkeiten der Malware, z.B. automatisch betrügerische Anzeigen auf Kosten der Opfer zu schalten, sind gewachsen. Ebenso entwickelt sich die Raffinesse, mit der Analyse- und Erkennungstools umgangen werden.

Auch die Masche, mit der Opfer geködert werden, wurde weiterentwickelt. Nach wie vor versteckt sich die Malware hinter seriös scheinenden Beiträgen insbesondere bei Facebook und LinkedIn, aber auch in E-Mails oder WhatsApp-Nachrichten. Gelockt wird mit relevanten und aktuellen Themen wie ChatGPT, mit dem Download angeblicher Software oder mit plattformbezogenen Angeboten und Diensten. Zunehmend werden aber auch gefälschte Stellenangebote und Projektausschreibungen bekannter Marken als Köder ausgelegt. Über Links zu gefälschten Marken-Websites lädt das Opfer schließlich den Infostealer auf seinen Rechner.

Ende März 2023 identifizierte WithSecure Intelligence eine Malware, die nicht nur hinsichtlich Viktimologie, Vorgehen und Funktionalität erhebliche Überschneidungen mit DUCKTAIL aufwies. Was also zunächst nur eine Subvariante zu sein schien, erwies sich bei genauerer Analyse schnell als einzigartig genug, um als DUCKPORT separat verfolgt zu werden.

Wie DUCKTAIL zielt auch DUCKPORT auf Unternehmen und Einzelpersonen ab, die die Ads- und Business-Plattform von Facebook nutzen. WithSecure Intelligence geht davon aus, dass der ursprüngliche Code von DUCKPORT auf DUCKTAIL basierte. DUCKPORT hat jedoch zahlreiche neue Funktionen hinzugefügt und einige der Kernfunktionen von DUCKTAIL weiterentwickelt. So ist DUCKPORT beispielsweise in der Lage, Screenshots vom Rechner des Opfers zu erstellen sowie Notiz-Tools als Teil der Befehls- und Kontrollkette zu nutzen. Beide Bedrohungen verbreiten sich parallel, werden sich aufgrund ihrer getrennten Entwicklung aber zukünftig noch weiter voneinander entfernen.

Der hohe Grad an Überschneidungen bei den Fähigkeiten, der Infrastruktur und der Viktimologie sowie Vietnam als Ausgangspunkt, deuten auf sehr aktive Beziehungen zwischen verschiedenen Cyber-Gangs oder sogar auf ein ganzes, dezentrales Cybercrime-Netzwerk hin. Neeraj Singh von WithSecure, der an der aktuellen Studie beteiligt war, sagt zum beobachteten Engagement der Akteure: „Diese verschiedenen Gruppen könnten Know-how aus einem gemeinsamen Talentpool beziehen, oder sie könnten sich innerhalb eines Informationsnetzwerk über Tools und effektive Strategien auszutauschen.“ Auch ein Vermittler spezieller Dienste, ein Ransomware-as-a-Service-Modell, sei sehr wahrscheinlich. „Offensichtlich ist, dass dieser Bereich wächst, was auf einen gewissen Erfolg bei diesen Angriffen hindeutet", sagte Singh.

Neeraj Singh

Entsprechend werden die Angriffe mit DUCKTAIL und DUCKPORT weitergehen, trotz gelegentlicher Rückschläge z.B. durch Anpassungen seitens Meta und eine verbesserte Erkennung. Denn viel lukrativer, als mit dem erlangten Zugriff auf Facebook- und Meta-Unternehmenskonten Geld zu erpressen, ist die Möglichkeit, betrügerische Anzeigen auf Kosten der Opfer schalten zu können. Über den Handel mit diesen Werbeflächen entsteht ein wahrer Kaskadeneffekt. „Oft werden diese Anzeigen an andere Cybergangster verkauft, für einen festen Betrag oder eine Beteiligung an der Beute“, sagt WithSecure-Forscher Mohammad Kazem Hassan Nejad, Verfasser von „Meet the Ducks“. „So öffnen sich Cyberkriminelle gegenseitig Tür und Tor. Den Schaden haben die Unternehmen, die Plattformen und deren Nutzerinnen und Nutzer. Der Verkauf von gestohlenen Daten und Informationen beschert zusätzliche Einnahmen und den Opfern weitere Probleme.“

Mohammad Kazem Hassan Nejad

WithSecure rät allen zu erhöhter Vorsicht, die Zugang zu Unternehmenskonten in sozialen Medien und auf deren Werbeplattformen haben. Das betrifft insbesondere Mitarbeiterinnen und Mitarbeiter in den Bereichen Digitales Marketing, Finanzen, Personalwesen und Öffentlichkeitsarbeit.

Der vollständige Bericht ist hier verfügbar.

 

WithSecure™ media relations
Berk Kutsal, Senior PR Manager, DACH
+49 179 54 74 353
berk.kutsal@withsecure.com

 

Über WithSecure™

WithSecure, ehemals F-Secure Business, ist der zuverlässige Partner für Cybersicherheit. IT-Dienstleister, Managed Security Services Provider und andere Unternehmen vertrauen WithSecure – wie auch große Finanzinstitute, Industrieunternehmen und führende Kommunikations- und Technologieanbieter. Mit seinem ergebnisorientierten Ansatz der Cybersicherheit hilft der finnische Sicherheitsanbieter Unternehmen dabei, die Sicherheit in Relation zu den Betriebsabläufen zu setzen und Prozesse zu sichern sowie Betriebsunterbrechungen vorzubeugen. WithSecure nennt diesen Ansatz „Outcome-based Cyber Security“. KI-gesteuerte Sicherheitsmaßnahmen sichern Endpoints und die Zusammenarbeit in der Cloud mit intelligenten Erkennungs- und Reaktionsmechanismen. Die Detection & Response-Experten von WithSecure identifizieren Geschäftsrisiken, indem sie proaktiv nach Bedrohungen suchen und bereits laufende Angriffe abwehren – dabei arbeiten sie eng mit Instituten, großen Unternehmen und innovativen Tech-Firmen zusammen. Sie haben mehr als 30 Jahre Erfahrung in der Entwicklung von Technologien, die sich an den Bedürfnissen der Unternehmen orientieren. Das Portfolio von WithSecure eröffnet durch flexible Vertriebsmodelle die Möglichkeit, gemeinsam mit Partnern zu wachsen.

Die WithSecure Corporation ist 1988 gegründet und an der NASDAQ OMX Helsinki Ltd. gelistet.