Ducktail retter sig mod marketingprofessionelle i modebranchen med sin seneste kampagne, hvor trusselsaktørerne udsender arkiver med billeder af autentiske produkter fra kendte virksomheder sammen med en ondsindet eksekverbar camoufleret som PDF-fil.
Ifølge en indberette fra Kaspersky åbner malwaren efter henrettelse en ægte indlejret PDF med detaljerede joboplysninger, hvor angrebet er udformet til at appellere til marketingprofessionelle, der aktivt søger karriereændringer.
Malwarens mål er at installere en browserudvidelse, der er dygtig til at stjæle Facebook-forretninger og annoncekonti med den sandsynlige hensigt at sælge de stjålne legitimationsoplysninger.
Rapporten bemærkede, at dette strategiske skift indikerer en udviklende sofistikering i Ducktails angrebsteknikker, skræddersyet til at udnytte specifikke professionelle demografiske forhold.
Inde i Ducktail Malware Infection Rutine
Når offeret åbner den ondsindede fil, gemmer den et PowerShell-script (param.ps1) og en falsk PDF-fil i enhedens offentlige mappe.
Scriptet, der udløses af standard PDF-fremviseren, åbner den falske PDF, holder pause og lukker derefter Chrome-browseren ned.
Samtidig gemmer angrebet vildledende browserudvidelsesfiler i en Google Chrome-mappe, der forklæder sig som en Google Docs Offline-udvidelse. Malwaren kan ændre dens vej til hosting af udvidelsen.
Det skjulte kernescript sender konsekvent detaljer om åbne browserfaner til en kommando-og-kontrol-server (C2).
Hvis der registreres Facebook-relaterede URL'er, forsøger udvidelsen at stjæle annoncer og virksomhedskonti ved at udtrække cookies og kontooplysninger.
For at omgå to-faktor autentificering (2FA) bruger udvidelsen Facebook API-anmodninger og 2fa[.]live-tjenesten fra Vietnam. Stjålne legitimationsoplysninger sendes til en C2 baseret i Vietnam.
I denne kampagne gemmes et ekstra script (jquery-3.3.1.min.js) i udvidelsesmappen, som er en beskadiget version af et kernescript fra tidligere angreb.
Trusselsaktørerne har taget en ny tilgang ved at udnytte Delphi som dets programmeringssprog, der afviger fra deres sædvanlige .NET-applikationstilgang.
Sådan beskytter du dig mod andehale-cyberangreb
Ducktail malware-kampagnens brug af programmeringssproget Delphi skaber detekteringsudfordringer for sikkerhedsteams, da sprogets ualmindelige signaturbaserede antivirusbeskyttelser kan gå glip af denne trussel.
"For at forbedre overvågningen bør organisationer anvende mere adfærdsbaserede analyser og heuristisk overvågning til at identificere anomalier, der indikerer ondsindet aktivitet," forklarer Amelia Buck, trusselsanalytiker hos Menlo Security.
Hun siger, at især marketingteams bør trænes til at spotte social engineering, givet skræddersyede angreb, der har til formål at vildlede dem.
"Med hensyn til social engineering-taktik opbygger de legitimt udseende billedfiler af produkter fra kendte modemærker tillid, før de leverer de inficerede PDF'er," bemærker Buck.
Hun påpeger, at uddannelse bør råde personalet til at være skeptisk over for uopfordrede filer fra eksterne afsendere, undgå at aktivere makroer og verificere uventede vedhæftede filer gennem intern bekræftelse inden åbning.
"Forsigtighed bør udvises selv med arbejdsrelevant indhold, da relevans bygger troværdighed for bedrag," forklarer hun. "Medarbejdere bør også undersøge afsenderadresser for spoofing i stedet for at antage, at webstedet er lovligt."
Hun tilføjer, at browserudvidelseskomponenten også garanterer sikkerhedsforanstaltninger, og anbefaler, at alle medarbejdere aktiverer multifaktorautentificering for sociale medier og andre konti, der indeholder følsomme oplysninger.
"Dette skal man dog ikke stole på," forklarer hun. "De bør også afstå fra at indtaste legitimationsoplysninger i tredjepartsudvidelser, holde øje med ikke-godkendte browserudvidelsesinstallationer og undgå at bruge arbejdslegitimationsoplysninger til personlig browsing."
Tilvejebringelse af en adgangskodeadministrator vil også styrke kontosikkerheden mod genbrug af adgangskoder på tværs af kompromitterede konti.
Andehales vedvarende trussel
Andehale har været aktiv siden mindst maj 2021 og har berørte brugere med Facebook-virksomhedskonti i USA og mere end tre dusin andre lande.
Den Vietnam-baserede finansielle cyberkriminalitet bag Ducktail har konsekvent demonstreret tilpasningsevne i sine angrebsstrategier.
Ud over at bruge LinkedIn som en mulighed for spear-phishing-mål, som det gjorde i tidligere kampagner, er Andehale-gruppen nu begyndt at bruge WhatsApp for at målrette brugere.
Cybersikkerhedsforskere for nylig afdækket en forbindelse mellem den berygtede DarkGate remote access Trojan (RAT) og Ducktail, bestemt ud fra ikke-tekniske markører såsom lokkefiler, målretningsmønstre og leveringsmetoder.
- SEO Powered Content & PR Distribution. Bliv forstærket i dag.
- PlatoData.Network Vertical Generative Ai. Styrk dig selv. Adgang her.
- PlatoAiStream. Web3 intelligens. Viden forstærket. Adgang her.
- PlatoESG. Kulstof, CleanTech, Energi, Miljø, Solenergi, Affaldshåndtering. Adgang her.
- PlatoHealth. Bioteknologiske og kliniske forsøgs intelligens. Adgang her.
- Kilde: https://www.darkreading.com/threat-intelligence/ducktail-malware-targets-fashion-industry
- :har
- :er
- :ikke
- :hvor
- 1
- 2021
- 2FA
- 7
- a
- adgang
- Konto
- Konti
- tværs
- aktiv
- aktivt
- aktivitet
- aktører
- Desuden
- Yderligere
- adresser
- Tilføjer
- dygtig
- annoncer
- rådgive
- mod
- Alle
- langs med
- også
- amelia
- an
- analytiker
- analytics
- ,
- abnormaliteter
- antivirus
- api
- anke
- Anvendelse
- tilgang
- arkiv
- ER
- AS
- antage
- At
- angribe
- Angreb
- Forsøg på
- Autentisk
- Godkendelse
- Avenue
- undgå
- baseret
- BE
- været
- før
- begyndt
- bag
- mellem
- brands
- browser
- Browsing
- bygge
- opbyg tillid
- bygger
- virksomhed
- by
- Kampagne
- CAN
- Karriere
- forsigtighed
- udfordringer
- Ændringer
- Chrome
- Chrome-browser
- Virksomheder
- komponent
- Kompromitteret
- bekræftelse
- tilslutning
- konsekvent
- indhold
- cookies
- Core
- beskadiget
- lande
- udformet
- skaber
- Legitimationsoplysninger
- Troværdighed
- cyberkriminalitet
- bedrag
- Standard
- leverer
- levering
- Demografi
- demonstreret
- Detailing
- detaljer
- opdaget
- Detektion
- bestemmes
- enhed
- DID
- ned
- dusin
- indlejret
- medarbejdere
- muliggøre
- muliggør
- Engineering
- indtastning
- Endog
- udviklende
- udførelse
- Forklarer
- Exploit
- udvidelse
- udvidelser
- falsk
- Mode
- modemærker
- File (Felt)
- Filer
- finansielle
- Til
- fra
- ægte
- given
- Google Chrome
- gruppe
- Have
- Hosting
- Men
- HTTPS
- identificere
- billede
- billeder
- Forbedre
- in
- angiver
- industrien
- oplysninger
- installere
- Intelligens
- beregnet
- hensigt
- interne
- ind
- IT
- ITS
- selv
- Job
- jpg
- Kaspersky
- Sprog
- seneste
- mindst
- Legit
- løftestang
- Sandsynlig
- makroer
- malware
- leder
- Marketing
- Kan..
- Medier
- metoder
- minut
- glip af
- overvågning
- mere
- multifaktorgodkendelse
- netto
- Ny
- bemærkede
- Noter
- berygtet
- nu
- objektiv
- sløres
- of
- offline
- åbent
- åbning
- åbner
- drift
- organisationer
- Andet
- ud
- uden for
- særlig
- Adgangskode
- Password Manager
- sti
- mønstre
- personale
- plato
- Platon Data Intelligence
- PlatoData
- punkter
- PowerShell
- tidligere
- Produkter
- professionel
- professionelle partnere
- Programmering
- beskytte
- offentlige
- ROTTE
- hellere
- anbefale
- om
- relevans
- fjern
- Remote Access
- indberette
- anmodninger
- forskere
- genbruge
- s
- sikkerhedsforanstaltninger
- gemt
- siger
- script
- sikkerhed
- søger
- Salg
- send
- afsender
- sender
- følsom
- sendt
- server
- tjeneste
- hun
- skifte
- bør
- lukker
- siden
- websted
- skeptisk
- Social
- Samfundsteknologi
- sociale medier
- raffinement
- specifikke
- Spot
- Personale
- Stater
- stjålet
- Strategisk
- strategier
- styrker
- sådan
- taktik
- skræddersyet
- taget
- mål
- rettet mod
- mål
- hold
- teknikker
- end
- at
- deres
- Them
- derefter
- de
- tredjepart
- denne
- trussel
- trusselsaktører
- tre
- Gennem
- til
- uddannet
- Kurser
- udløst
- Trojan
- Stol
- Ualmindelig
- Uventet
- Forenet
- Forenede Stater
- uopfordret
- på
- brug
- bruger
- ved brug af
- sædvanlig
- verificere
- udgave
- Victim
- Vietnam
- tegningsretter
- Ur
- Kendt
- som
- med
- Arbejde
- ville
- zephyrnet