Kampanja za krađu identiteta poznata kao "Ducktail" kruži LinkedInom ciljajući na pojedince koji upravljaju Facebook poslovnim računima. Infostealer se koristi u procesu za pristup informacijama.
Određeni pojedinci su na meti zlonamjernika
U pačjem repu spear phishing kampanje, napadači ciljaju isključivo pojedince koji upravljaju Facebook poslovnim računima i stoga su dobili određene dozvole za oglašavanje i marketinške alate tvrtke Facebook. Oni za koje je na LinkedInu prikazano da imaju uloge u digitalnom marketingu, marketingu na društvenim mrežama, digitalnom oglašavanju ili slično, glavne su mete za ovog napadača.
Tvrtka za kibernetičku sigurnost WithSecure objavljeno u nedavnoj publikaciji da je zlonamjerni softver Ducktail prvi takve vrste i da se smatra da ga kontrolira vijetnamski operater.
Ne zna se točno koliko dugo ova kampanja traje, ali potvrđeno je da je aktivna najmanje godinu dana. Međutim, Ducktail je možda stvoren i prvi put korišten prije čak četiri godine u vrijeme pisanja.
Iako LinkedIn računi nisu izravno ciljani u ovoj kampanji, platforma se koristi kao sredstvo za pristup ciljevima. Zlonamjerni akter traži korisnike s ulogama koje sugeriraju da imaju pristup visokoj razini alatima za oglašavanje svog poslodavca, uključujući njihov Facebook Business račun.
Zatim će napadač koristiti društveni inženjering kako bi uvjerio žrtvu da preuzme arhivsku datoteku koja sadrži izvršnu datoteku zlonamjernog softvera kao i neke dodatne slike i datoteke, a sve ih hostiraju razni pružatelji usluga pohrane u oblaku, poput Dropboxa i iCloud. Zlonamjerni softver Ducktail napisan je u .NET Coreu, softverskom okviru otvorenog koda. To znači da zlonamjerni softver infostealer može raditi na gotovo svakom uređaju, bez obzira na operativni sustav koji koristi.
Zlonamjerni softver Ducktail zatim može skenirati kolačiće preglednika kako bi pronašao potrebne podatke za prijavu potrebne za pristup Facebook Business računu tako što otimanje sesijskog kolačića. Hakiranjem Facebook Business računa mogu se ukrasti osjetljivi podaci o tvrtki, njenim klijentima i dinamici oglašavanja.
Financijska dobit je vjerojatni cilj u kampanji Ducktail
WithSecure je izjavio u njegov post o Ducktailu da su postupci zlonamjerne strane vjerojatno "financijski vođeni". Kada napadač stekne potpunu kontrolu nad ciljanim Facebook Business računom, može urediti kreditnu karticu i podatke o transakcijama te koristiti načine plaćanja tvrtke za pokretanje vlastitog oglašavanja kampanje. To može biti financijski štetno za tvrtku, ali može potrajati neko vrijeme da se primijeti, što zlonamjernom akteru daje više vremena da iskoristi žrtvu.
Ducktail bi mogao skupiti mnogo žrtava u bliskoj budućnosti
Budući da je Ducktail jedinstvena vrsta zlonamjernog softvera i cilja na područje koje mnogi pojedinci ne bi pomislili provjeriti, mogao bi se koristiti za uspješno iskorištavanje dugog popisa žrtava tijekom vremena. Iako nije poznato je li se napadač uspješno infiltrirao u bilo koji Facebook poslovni račun, prijetnja i dalje postoji.
