O campanie de spear-phishing cunoscută sub numele de „Ducktail” face răsturnarea pe LinkedIn, țintind persoane care gestionează conturile Facebook Business. Un infostealer este utilizat în acest proces pentru a accesa informații.
Persoane specifice sunt vizate de actorul rău intenționat
În coadă de rață pescuit cu sulita campanie, atacatorii vizează exclusiv persoane care gestionează conturile Facebook Business și prin urmare, au primit anumite permisiuni pentru instrumentele de publicitate și marketing ale unei companii Facebook. Cei cărora li se arată pe LinkedIn că au roluri în marketing digital, marketing în rețelele sociale, publicitate digitală sau similare, sunt ținte principale pentru acest atacator.
Firma de securitate cibernetică WithSecure raportat într-o publicație recentă că malware-ul Ducktail este primul de acest gen și se crede că este controlat de un operator vietnamez.
Nu se știe exact de cât timp durează această campanie, dar este confirmată activă de cel puțin un an. Cu toate acestea, Ducktail este posibil să fi fost creat și folosit pentru prima dată în urmă cu patru ani, la momentul scrierii.
Deși conturile LinkedIn nu sunt vizate direct în această campanie, platforma este folosită ca vehicul pentru a accesa ținte. Actorul rău intenționat caută utilizatori cu roluri care sugerează că au acces la un nivel înalt la instrumentele de publicitate ale angajatorului, inclusiv la contul Facebook Business.
Apoi, atacatorul va folosi ingineria socială pentru a convinge victima să descarce un fișier de arhivă care conține un executabil malware. precum și câteva imagini și fișiere suplimentare, toate găzduite de o varietate de furnizori de stocare în cloud, cum ar fi Dropbox și iCloud. Malware-ul Ducktail este scris în .NET Core, un cadru de software open-source. Aceasta înseamnă că malware-ul infostealer poate rula pe aproape orice dispozitiv, indiferent de sistemul de operare pe care îl folosește.
Programul malware Ducktail poate scana apoi cookie-urile de browser pentru a găsi informațiile de conectare necesare pentru a accesa un cont Facebook Business deturnarea cookie-ului de sesiune. Prin piratarea unui cont Facebook Business, informațiile sensibile despre companie, clienții săi și dinamica publicității pot fi furate.
Câștigul financiar este obiectivul probabil în campania Ducktail
WithSecure a declarat în postarea sa despre Ducktail că acțiunile părții rău intenționate sunt probabil „conduse financiar”. Când atacatorul obține controlul deplin asupra contului Facebook Business vizat, poate edita cardul de credit și informații tranzacționale și utilizează metodele de plată ale companiei pentru a-și difuza propria publicitate campanii. Acest lucru poate fi dăunător financiar companiei, dar poate dura ceva timp pentru a observa, ceea ce îi oferă actorului rău intenționat mai mult timp pentru a exploata victima.
Coada de rață poate acumula multe victime în viitorul apropiat
Deoarece Ducktail este un tip de malware unic și vizează o zonă pe care mulți indivizi nu s-ar gândi să o verifice, ar putea fi folosit pentru a exploata cu succes o listă lungă de victime în timp. Deși nu se știe dacă atacatorul a infiltrat cu succes vreun cont Facebook Business, amenințarea rămâne în continuare.
