A "Ducktail" néven ismert lándzsa-adathalász kampány a LinkedIn-en a Facebook Business fiókokat kezelő személyeket célozza meg. A folyamat során egy infolopót használnak az információk eléréséhez.
Meghatározott személyeket céloz meg a rosszindulatú színész
A Ducktailben lándzsás adathalászat kampányban a támadók kizárólag a Facebook Business fiókokat kezelő személyeket célozzák meg, és ezért bizonyos engedélyeket kaptak egy vállalat hirdetési és marketingeszközeihez Facebook. Azok, akikről a LinkedIn azt mutatja, hogy szerepet tölt be a digitális marketingben, a közösségi média marketingben, a digitális reklámozásban vagy hasonlókban, a támadó elsődleges célpontjai.
A WithSecure kiberbiztonsági cég számolt be egy friss publikációban hogy a Ducktail rosszindulatú program az első a maga nemében, és vélhetően egy vietnami üzemeltető irányítja.
Azt nem tudni, hogy pontosan mióta tart ez a kampány, de legalább egy éve megerősítették, hogy aktív. A Ducktail-t azonban az írás idején akár négy évvel ezelőtt is létrehozhatták és használták először.
Bár a LinkedIn-fiókokat nem közvetlenül célozza meg ebben a kampányban, a platformot a célok elérésének eszközeként használják. A rosszindulatú színész olyan szerepkörrel rendelkező felhasználókat keres, amelyek arra utalnak, hogy magas szintű hozzáféréssel rendelkeznek munkaadójuk hirdetési eszközeihez, beleértve a Facebook Business-fiókjukat is.
Ezután a támadó szociális manipuláció segítségével ráveszi az áldozatot, hogy töltsön le egy rosszindulatú program futtatható fájlját tartalmazó archív fájlt. valamint néhány további kép és fájl, amelyek mindegyikét különféle felhőalapú tárolási szolgáltatók tárolják, például a Dropbox és iCloud. A Ducktail kártevő a .NET Core-ban, egy nyílt forráskódú szoftverkeretrendszerben íródott. Ez azt jelenti, hogy az infostealer kártevő szinte bármilyen eszközön futhat, függetlenül attól, hogy milyen operációs rendszert használ.
A Ducktail kártevő ezután böngésző cookie-kat kereshet, hogy megtalálja a Facebook Business fiók eléréséhez szükséges bejelentkezési adatokat. a munkamenet cookie-jának eltérítése. A Facebook Business fiók feltörésével érzékeny információk lophatók el a cégről, ügyfeleiről és a hirdetési dinamikáról.
A pénzügyi haszon a valószínű cél a Ducktail kampányban
A WithSecure kijelentette a Ducktailről szóló bejegyzése hogy a rosszindulatú fél cselekedeteit valószínűleg „pénzügyi vezérelte”. Amikor a támadó teljes irányítást szerez a megcélzott Facebook Business-fiók felett, szerkesztheti a hitelkártyát és tranzakciós információkat, és a vállalat fizetési módjait használják saját hirdetéseik futtatására kampányok. Ez anyagilag káros lehet a vállalat számára, de eltarthat egy ideig, amíg észreveszik, ami több időt biztosít a rosszindulatú szereplőnek az áldozat kizsákmányolására.
A Ducktail sok áldozatot halmozhat fel a közeljövőben
Mivel a Ducktail a rosszindulatú programok egyedülálló típusa, és olyan területet céloz meg, amelyet sok ember nem gondolna ellenőrizni, idővel sikeresen kihasználhatja az áldozatok hosszú listáját. Bár nem tudni, hogy a támadó sikeresen behatolt-e valamelyik Facebook Business fiókba, a fenyegetés továbbra is fennáll.