Kampania spear-phishingu znana jako „kaczy ogon” krąży po LinkedIn, celując w osoby, które zarządzają kontami biznesowymi na Facebooku. W procesie wykorzystywany jest złodziej informacji, aby uzyskać dostęp do informacji.
Złośliwy aktor atakuje określone osoby
W kaczym ogonie spear phishing kampanii, atakujący atakują wyłącznie osoby, które zarządzają kontami Facebook Business, i w związku z tym otrzymali pewne uprawnienia do narzędzi reklamowych i marketingowych firmy w dniu Facebook. Osoby, które są pokazane na LinkedIn, że pełnią role w marketingu cyfrowym, marketingu w mediach społecznościowych, reklamie cyfrowej itp., są głównymi celami tego atakującego.
Firma zajmująca się cyberbezpieczeństwem WithSecure zgłoszone w niedawnej publikacji że złośliwe oprogramowanie Ducktail jest pierwszym tego rodzaju i uważa się, że jest kontrolowane przez wietnamskiego operatora.
Nie wiadomo dokładnie, jak długo ta kampania trwa, ale potwierdzono, że jest aktywna od co najmniej roku. Jednak Ducktail mógł zostać stworzony i po raz pierwszy użyty już cztery lata temu w momencie pisania.
Chociaż konta LinkedIn nie są bezpośrednio kierowane w tej kampanii, platforma jest wykorzystywana jako narzędzie do uzyskiwania dostępu do celów. Złośliwy aktor szuka użytkowników z rolami, które sugerują, że mają wysoki poziom dostępu do narzędzi reklamowych pracodawcy, w tym do konta Facebook Business.
Następnie atakujący użyje socjotechniki, aby przekonać ofiarę do pobrania pliku archiwum zawierającego wykonywalny złośliwy program a także kilka dodatkowych obrazów i plików, z których wszystkie są hostowane przez różnych dostawców przechowywania w chmurze, takich jak Dropbox i iCloud. Złośliwe oprogramowanie Ducktail zostało napisane w .NET Core, platformie oprogramowania typu open source. Oznacza to, że malware typu infostealer może działać na prawie każdym urządzeniu, niezależnie od używanego systemu operacyjnego.
Złośliwe oprogramowanie Ducktail może następnie skanować w poszukiwaniu plików cookie przeglądarki, aby znaleźć wymagane dane logowania potrzebne do uzyskania dostępu do konta Facebook Business przez przejęcie sesyjnego pliku cookie. Włamując się na konto Facebook Business, można ukraść poufne informacje o firmie, jej klientach i dynamice reklamy.
Zysk finansowy jest prawdopodobnym celem kampanii Ducktail
WithSecure stwierdził w jego post o Kaczym ogonie że działania złośliwej strony są prawdopodobnie „motywowane finansami”. Gdy atakujący uzyska pełną kontrolę nad docelowym kontem biznesowym na Facebooku, może edytować kartę kredytową i informacje transakcyjne oraz korzystać z firmowych metod płatności do wyświetlania własnych reklam kampanie. Może to być finansowo szkodliwe dla firmy, ale może to zająć trochę czasu, co daje złośliwemu podmiotowi więcej czasu na wykorzystanie ofiary.
Kaczy ogon może zgromadzić wiele ofiar w niedalekiej przyszłości
Ponieważ Ducktail to jedyny w swoim rodzaju rodzaj złośliwego oprogramowania, którego celem jest obszar, którego wiele osób nie pomyślałoby o sprawdzeniu, może z czasem zostać wykorzystany do skutecznego wykorzystania długiej listy ofiar. Chociaż nie wiadomo, czy atakującemu udało się zinfiltrować jakiekolwiek konta biznesowe na Facebooku, zagrożenie nadal pozostaje.