Spear-phishingová kampaň známa ako „Ducktail“ sa šíri na LinkedIn tým, že sa zameriava na jednotlivcov, ktorí spravujú účty Facebook Business. Na prístup k informáciám sa v procese používa infostealer.
Zlovolný herec sa zameriava na konkrétnych jednotlivcov
V Ducktail spear phishing sa útočníci zameriavajú výlučne na jednotlivcov, ktorí spravujú účty Facebook Business a preto boli udelené určité povolenia na reklamné a marketingové nástroje spoločnosti Facebook. Tí, ktorým sa na LinkedIn ukáže, že majú úlohy v digitálnom marketingu, marketingu sociálnych médií, digitálnej reklame alebo podobne, sú hlavnými cieľmi tohto útočníka.
Spoločnosť pre kybernetickú bezpečnosť WithSecure uvedené v nedávnej publikácii že malvér Ducktail je prvý svojho druhu a predpokladá sa, že ho ovláda vietnamský operátor.
Nie je presne známe, ako dlho táto kampaň prebieha, no bolo potvrdené, že je aktívna minimálne jeden rok. Ducktail však mohol byť vytvorený a prvýkrát použitý už pred štyrmi rokmi v čase písania tohto článku.
Zatiaľ čo účty LinkedIn nie sú v tejto kampani priamo zamerané, platforma sa používa ako prostriedok na prístup k cieľom. Zákerný herec hľadá používateľov s rolami, ktoré naznačujú, že majú vysokoúrovňový prístup k reklamným nástrojom svojho zamestnávateľa, vrátane ich účtu Facebook Business.
Potom útočník použije sociálne inžinierstvo, aby presvedčil obeť, aby si stiahla archívny súbor, ktorý obsahuje spustiteľný malvér ako aj niektoré ďalšie obrázky a súbory, z ktorých všetky sú hosťované rôznymi poskytovateľmi cloudových úložísk, ako sú Dropbox a iCloud. Malvér Ducktail je napísaný v .NET Core, open-source softvérovom rámci. To znamená, že malvér infostealer sa môže spustiť na takmer akomkoľvek zariadení bez ohľadu na operačný systém, ktorý používa.
Malvér Ducktail potom môže vyhľadať súbory cookie prehliadača, aby našiel požadované prihlasovacie informácie potrebné na prístup k účtu Facebook Business únos súboru cookie relácie. Hackovaním účtu Facebook Business môžu byť ukradnuté citlivé informácie o spoločnosti, jej klientoch a dynamike reklamy.
Finančný zisk je pravdepodobným cieľom kampane Ducktail
WithSecure uviedol v jeho príspevok o Ducktail že činy zlomyseľnej strany sú pravdepodobne „finančne motivované“. Keď útočník získa plnú kontrolu nad cieľovým účtom Facebook Business, môže upraviť kreditnú kartu a transakčné informácie a používať spôsoby platby spoločnosti na prevádzkovanie vlastnej reklamy kampane. To môže byť pre spoločnosť finančne škodlivé, ale môže chvíľu trvať, kým si to všimnete, čo poskytne zlomyseľnému aktérovi viac času na zneužitie obete.
Ducktail môže v blízkej budúcnosti nahromadiť veľa obetí
Pretože Ducktail je jedinečný typ malvéru a zameriava sa na oblasť, ktorú by mnohí jednotlivci nenapadlo kontrolovať, mohol by byť použitý na úspešné využitie dlhého zoznamu obetí v priebehu času. Aj keď nie je známe, či útočník úspešne infiltroval nejaké účty Facebook Business, hrozba stále pretrváva.
