Spear-phishingová kampaň známá jako „Ducktail“ se šíří na LinkedIn tím, že se zaměřuje na jednotlivce, kteří spravují účty Facebook Business. Pro přístup k informacím se v procesu používá infostealer.
Zlomyslný herec se zaměřuje na konkrétní jednotlivce
V Kachním ocasu kopí phishing kampaň, útočníci se zaměřují pouze na jednotlivce, kteří spravují účty Facebook Business, a proto jim byla udělena určitá oprávnění k reklamním a marketingovým nástrojům společnosti Facebook. Ti, kteří jsou na LinkedIn zobrazeni, že mají role v digitálním marketingu, marketingu na sociálních sítích, digitální reklamě nebo podobně, jsou hlavním cílem tohoto útočníka.
Společnost pro kybernetickou bezpečnost WithSecure uvedeno v nedávné publikaci že malware Ducktail je první svého druhu a předpokládá se, že jej ovládá vietnamský operátor.
Není přesně známo, jak dlouho tato kampaň trvá, ale bylo potvrzeno, že je aktivní minimálně jeden rok. Ducktail však mohl být vytvořen a poprvé použit již před čtyřmi lety v době psaní tohoto článku.
Zatímco účty LinkedIn nejsou v této kampani přímo zacíleny, platforma se používá jako prostředek pro přístup k cílům. Zákeřný herec hledá uživatele s rolemi, které naznačují, že mají přístup na vysoké úrovni k reklamním nástrojům svého zaměstnavatele, včetně jejich účtu Facebook Business.
Poté útočník pomocí sociálního inženýrství přesvědčí oběť, aby si stáhla archivní soubor, který obsahuje spustitelný malware. a také některé další obrázky a soubory, z nichž všechny jsou hostovány různými poskytovateli cloudových úložišť, jako jsou Dropbox a iCloud. Malware Ducktail je napsán v .NET Core, open-source softwarovém rámci. To znamená, že malware infostealer může běžet na téměř jakémkoli zařízení, bez ohledu na operační systém, který používá.
Malware Ducktail pak může vyhledávat soubory cookie prohlížeče, aby našel požadované přihlašovací údaje potřebné pro přístup k účtu Facebook Business únos souboru cookie relace. Hacknutím účtu Facebook Business lze ukrást citlivé informace o společnosti, jejích klientech a dynamice reklamy.
Finanční zisk je pravděpodobným cílem kampaně Ducktail
WithSecure uvedl v jeho příspěvek o Ducktail že jednání záškodnické strany je pravděpodobně „finančně motivované“. Když útočník získá plnou kontrolu nad cíleným účtem Facebook Business, může upravit kreditní kartu a transakční informace a používat platební metody společnosti k provozování vlastní reklamy kampaně. To může být pro společnost finančně škodlivé, ale může chvíli trvat, než si to všimnete, což dává zlomyslnému herci více času na zneužití oběti.
Kachní ocas může v blízké budoucnosti nashromáždit mnoho obětí
Vzhledem k tomu, že Ducktail je jedinečný typ malwaru a zaměřuje se na oblast, kterou by mnoho jednotlivců nenapadlo kontrolovat, mohl by být časem úspěšně použit k úspěšnému zneužití dlouhého seznamu obětí. I když není známo, zda útočník úspěšně infiltroval nějaké účty Facebook Business, hrozba stále přetrvává.
