Μια καμπάνια spear-phishing γνωστή ως "Ducktail" κάνει τον γύρο του LinkedIn στοχεύοντας άτομα που διαχειρίζονται λογαριασμούς στο Facebook Business. Ένας infostealer χρησιμοποιείται στη διαδικασία για πρόσβαση σε πληροφορίες.

Συγκεκριμένα άτομα στοχοποιούνται από τον κακόβουλο ηθοποιό

Στο Ducktail ψάρεμα με δόρυ εκστρατεία, οι εισβολείς στοχεύουν αποκλειστικά άτομα που διαχειρίζονται λογαριασμούς Facebook Business και Ως εκ τούτου, έχουν χορηγηθεί ορισμένες άδειες για τα εργαλεία διαφήμισης και μάρκετινγκ μιας εταιρείας στο Facebook. Αυτοί που εμφανίζονται στο LinkedIn να έχουν ρόλους στο ψηφιακό μάρκετινγκ, το μάρκετινγκ μέσων κοινωνικής δικτύωσης, την ψηφιακή διαφήμιση ή παρόμοια, αποτελούν πρωταρχικούς στόχους για αυτόν τον εισβολέα.

Εταιρεία κυβερνοασφάλειας WithSecure αναφέρεται σε πρόσφατη δημοσίευση ότι το κακόβουλο λογισμικό Ducktail είναι το πρώτο στο είδος του και πιστεύεται ότι ελέγχεται από βιετναμέζο χειριστή.

Δεν είναι γνωστό πόσο ακριβώς διαρκεί αυτή η καμπάνια, αλλά έχει επιβεβαιωθεί ότι είναι ενεργή για τουλάχιστον ένα χρόνο. Ωστόσο, το Ducktail μπορεί να δημιουργήθηκε και να χρησιμοποιήθηκε για πρώτη φορά πριν από τέσσερα χρόνια τη στιγμή που γραφόταν το άρθρο.

Ενώ οι λογαριασμοί LinkedIn δεν στοχεύονται απευθείας σε αυτήν την καμπάνια, η πλατφόρμα χρησιμοποιείται ως μέσο πρόσβασης σε στόχους. Ο κακόβουλος ηθοποιός αναζητά χρήστες με ρόλους που υποδηλώνουν ότι έχουν πρόσβαση υψηλού επιπέδου στα διαφημιστικά εργαλεία του εργοδότη τους, συμπεριλαμβανομένου του λογαριασμού τους στο Facebook Business.

Στη συνέχεια, ο εισβολέας θα χρησιμοποιήσει την κοινωνική μηχανική για να πείσει το θύμα να κατεβάσει ένα αρχείο αρχειοθέτησης που περιέχει ένα εκτελέσιμο κακόβουλο λογισμικό καθώς και ορισμένες πρόσθετες εικόνες και αρχεία, τα οποία φιλοξενούνται από διάφορους παρόχους αποθήκευσης cloud, όπως το Dropbox και iCloud. Το κακόβουλο λογισμικό Ducktail είναι γραμμένο σε .NET Core, ένα πλαίσιο λογισμικού ανοιχτού κώδικα. Αυτό σημαίνει ότι το κακόβουλο λογισμικό infostealer μπορεί να εκτελεστεί σε σχεδόν οποιαδήποτε συσκευή, ανεξάρτητα από το λειτουργικό σύστημα που χρησιμοποιεί.

Το κακόβουλο λογισμικό Ducktail μπορεί στη συνέχεια να πραγματοποιήσει σάρωση για cookie προγράμματος περιήγησης για να βρει τις απαιτούμενες πληροφορίες σύνδεσης που απαιτούνται για πρόσβαση σε έναν λογαριασμό Facebook Business από παραβίαση του cookie συνεδρίας. Με την παραβίαση ενός λογαριασμού Facebook Business, μπορούν να κλαπούν ευαίσθητες πληροφορίες σχετικά με την εταιρεία, τους πελάτες της και τη δυναμική της διαφήμισης.

Το οικονομικό κέρδος είναι ο πιθανός στόχος στην εκστρατεία Ducktail

Η WithSecure δήλωσε η ανάρτησή του για το Ducktail ότι οι ενέργειες του κακόβουλου μέρους πιθανότατα «οδηγούνται οικονομικά». Όταν ο εισβολέας αποκτήσει τον πλήρη έλεγχο του στοχευμένου λογαριασμού Facebook Business, μπορεί να επεξεργαστεί την πιστωτική κάρτα και πληροφορίες συναλλαγών και χρησιμοποιούν τις μεθόδους πληρωμής της εταιρείας για να προβάλουν τις δικές τους διαφημίσεις εκστρατείες. Αυτό μπορεί να είναι οικονομικά επιζήμιο για την εταιρεία, αλλά μπορεί να χρειαστεί λίγος χρόνος για να το παρατηρήσετε, γεγονός που δίνει στον κακόβουλο ηθοποιό περισσότερο χρόνο για να εκμεταλλευτεί το θύμα.

Το Ducktail μπορεί να συσσωρεύσει πολλά θύματα στο εγγύς μέλλον

Επειδή το Ducktail είναι ένας μοναδικός τύπος κακόβουλου λογισμικού και στοχεύει μια περιοχή που πολλά άτομα δεν θα σκέφτηκαν να ελέγξουν, θα μπορούσε να χρησιμοποιηθεί για την επιτυχή εκμετάλλευση μιας μεγάλης λίστας θυμάτων με την πάροδο του χρόνου. Αν και δεν είναι γνωστό εάν ο εισβολέας έχει διεισδύσει επιτυχώς σε λογαριασμούς Facebook Business, η απειλή παραμένει.