Kampanja za lažno predstavljanje, znana kot "Ducktail", kroži po LinkedInu in cilja na posameznike, ki upravljajo račune Facebook Business. Za dostop do informacij se v postopku uporablja infostealer.
Določeni posamezniki so tarča zlonamernega akterja
V Ducktailu spear phishing kampanji napadalci ciljajo izključno na posameznike, ki upravljajo račune Facebook Business, in zato so prejeli določena dovoljenja za oglaševalska in trženjska orodja podjetja Facebook. Tisti, za katere je na LinkedInu prikazano, da imajo vloge v digitalnem trženju, trženju v družabnih medijih, digitalnem oglaševanju ali podobno, so glavne tarče tega napadalca.
Podjetje za kibernetsko varnost WithSecure poročali v nedavni publikaciji da je zlonamerna programska oprema Ducktail prva te vrste in naj bi jo nadzoroval vietnamski operater.
Ni natančno znano, kako dolgo traja ta akcija, potrjeno pa je, da je aktivna vsaj eno leto. Vendar pa je bil Ducktail morda ustvarjen in prvič uporabljen že pred štirimi leti v času pisanja.
Čeprav ta kampanja ne cilja neposredno na račune LinkedIn, se platforma uporablja kot sredstvo za dostop do ciljev. Zlonamerni igralec išče uporabnike z vlogami, ki kažejo, da imajo dostop na visoki ravni do oglaševalskih orodij svojega delodajalca, vključno z njihovim računom Facebook Business.
Nato bo napadalec uporabil socialni inženiring, da bi žrtev prepričal, da prenese arhivsko datoteko, ki vsebuje izvedljivo zlonamerno programsko opremo. kot tudi nekatere dodatne slike in datoteke, ki jih vse gostijo različni ponudniki shranjevanja v oblaku, kot sta Dropbox in iCloud. Zlonamerna programska oprema Ducktail je napisana v .NET Core, odprtokodnem programskem ogrodju. To pomeni, da se zlonamerna programska oprema infostealer lahko izvaja na skoraj vseh napravah, ne glede na operacijski sistem, ki ga uporablja.
Zlonamerna programska oprema Ducktail lahko nato skenira piškotke brskalnika, da poišče zahtevane podatke za prijavo, potrebne za dostop do računa Facebook Business, tako da ugrabitev sejnega piškotka. Z vdorom v račun Facebook Business lahko ukrademo občutljive podatke o podjetju, njegovih strankah in dinamiki oglaševanja.
Finančni dobiček je verjeten cilj v kampanji Ducktail
WithSecure je izjavil v njegova objava o Ducktailu da so dejanja zlonamerne stranke verjetno "finančno usmerjena". Ko napadalec pridobi popoln nadzor nad ciljnim računom Facebook Business, lahko ureja kreditno kartico in podatke o transakcijah ter uporabljajo plačilne metode podjetja za vodenje lastnega oglaševanja akcije. To je lahko finančno škodljivo za podjetje, vendar lahko traja nekaj časa, da opazite, kar daje zlonamernemu akterju več časa za izkoriščanje žrtve.
Ducktail lahko v bližnji prihodnosti nakoplje veliko žrtev
Ker je Ducktail edinstvena vrsta zlonamerne programske opreme in cilja na področje, ki si ga mnogi posamezniki ne bi mislili preveriti, bi ga lahko uporabili za uspešno izkoriščanje dolgega seznama žrtev skozi čas. Čeprav ni znano, ali se je napadalec uspešno infiltriral v kateri koli račun Facebook Business, grožnja še vedno ostaja.