Ducktail richtet sich mit seiner neuesten Kampagne an Marketingfachleute in der Modebranche, bei der die Bedrohungsakteure Archive mit Bildern authentischer Produkte bekannter Unternehmen sowie eine als PDF-Datei getarnte bösartige ausführbare Datei versenden.
Gemäß einer berichten Bei der Ausführung öffnet die Malware von Kaspersky ein echtes eingebettetes PDF mit detaillierten Jobinformationen. Der Angriff ist so konzipiert, dass er Marketingfachleute anspricht, die aktiv auf der Suche nach einer beruflichen Veränderung sind.
Das Ziel der Malware besteht darin, eine Browsererweiterung zu installieren, die in der Lage ist, Facebook-Geschäfts- und Werbekonten zu stehlen, mit der wahrscheinlichen Absicht, die gestohlenen Zugangsdaten zu verkaufen.
Der Bericht stellte fest, dass dieser strategische Wandel auf eine zunehmende Verfeinerung der Angriffstechniken von Ducktail hinweist, die auf die Ausnutzung spezifischer Berufsgruppen zugeschnitten sind.
Einblicke in die Malware-Infektionsroutine von Ducktail
Wenn das Opfer die Schaddatei öffnet, speichert es ein PowerShell-Skript (param.ps1) und eine gefälschte PDF-Datei im öffentlichen Verzeichnis des Geräts.
Das vom Standard-PDF-Viewer ausgelöste Skript öffnet das gefälschte PDF, hält an und fährt dann den Chrome-Browser herunter.
Gleichzeitig speichert der Angriff betrügerische Browser-Erweiterungsdateien in einem Google Chrome-Verzeichnis und tarnt sich als Google Docs Offline-Erweiterung. Die Malware kann ihren Pfad zum Hosten der Erweiterung ändern.
Das verdeckte Kernskript sendet kontinuierlich Details zu geöffneten Browser-Registerkarten an einen Command-and-Control-Server (C2).
Wenn Facebook-bezogene URLs erkannt werden, versucht die Erweiterung, Anzeigen und Geschäftskonten zu stehlen, indem sie Cookies und Kontodetails extrahiert.
Um die Zwei-Faktor-Authentifizierung (2FA) zu umgehen, nutzt die Erweiterung Facebook-API-Anfragen und den 2fa[.]Live-Dienst aus Vietnam. Gestohlene Zugangsdaten werden an ein C2 mit Sitz in Vietnam gesendet.
In dieser Kampagne wird ein zusätzliches Skript (jquery-3.3.1.min.js) im Erweiterungsordner gespeichert, bei dem es sich um eine beschädigte Version eines Kernskripts früherer Angriffe handelt.
Die Bedrohungsakteure haben einen neuen Ansatz gewählt, indem sie Delphi als Programmiersprache nutzten und von ihrem üblichen .NET-Anwendungsansatz abwichen.
So schützen Sie sich vor Ducktail-Cyberangriffen
Die Verwendung der Delphi-Programmiersprache durch die Ducktail-Malware-Kampagne stellt Sicherheitsteams vor Herausforderungen bei der Erkennung, da die ungewöhnlichen signaturbasierten Antivirenschutzmaßnahmen der Sprache diese Bedrohung möglicherweise übersehen.
„Um die Überwachung zu verbessern, sollten Unternehmen mehr verhaltensbasierte Analysen und heuristische Überwachung einsetzen, um Anomalien zu identifizieren, die auf böswillige Aktivitäten hinweisen“, erklärt Amelia Buck, Threat Intelligence-Analystin bei Menlo Security.
Sie sagt, dass insbesondere Marketingteams darin geschult werden sollten, Social Engineering zu erkennen, da gezielte Angriffe darauf abzielen, sie in die Irre zu führen.
„In Bezug auf Social-Engineering-Taktiken bauen die legitim aussehenden Bilddateien von Produkten bekannter Modemarken Vertrauen auf, bevor die infizierten PDFs übermittelt werden“, bemerkt Buck.
Sie weist darauf hin, dass die Mitarbeiter in Schulungen darauf hingewiesen werden sollten, gegenüber unerwünschten Dateien von externen Absendern skeptisch zu sein, die Aktivierung von Makros zu vermeiden und unerwartete Anhänge vor dem Öffnen durch interne Bestätigung zu überprüfen.
„Selbst bei berufsrelevanten Inhalten ist Vorsicht geboten, da Relevanz die Glaubwürdigkeit einer Täuschung erhöht“, erklärt sie. „Mitarbeiter sollten auch Absenderadressen auf Spoofing überprüfen, anstatt davon auszugehen, dass die Website seriös ist.“
Sie fügt hinzu, dass auch die Browser-Erweiterungskomponente Schutzmaßnahmen erfordert, und empfiehlt allen Mitarbeitern, die Multifaktor-Authentifizierung für soziale Medien und andere Konten mit vertraulichen Informationen zu aktivieren.
„Darauf sollte man sich jedoch nicht verlassen“, erklärt sie. „Sie sollten auch davon absehen, Zugangsdaten in Erweiterungen von Drittanbietern einzugeben, auf nicht genehmigte Installationen von Browsererweiterungen zu achten und es zu vermeiden, geschäftliche Zugangsdaten für das private Surfen zu verwenden.“
Die Bereitstellung eines Passwort-Managers würde auch die Kontosicherheit gegen die Wiederverwendung von Passwörtern über kompromittierte Konten hinweg erhöhen.
Die anhaltende Bedrohung durch Ducktail
Ducktail ist seit mindestens Mai 2021 aktiv und hat betroffene Benutzer mit Facebook-Geschäftskonten in den Vereinigten Staaten und mehr als drei Dutzend anderen Ländern.
Die in Vietnam ansässige Finanz-Cybercrime-Operation hinter Ducktail hat bei ihren Angriffsstrategien stets Anpassungsfähigkeit bewiesen.
Zusätzlich zur Nutzung von LinkedIn als Weg für Spear-Phishing-Ziele, wie es in frühere Kampagnen, hat die Ducktail-Gruppe jetzt begonnen, sie zu verwenden WhatsApp soll Nutzer gezielt ansprechen.
Cybersicherheitsforscher kürzlich aufgedeckt eine Verbindung zwischen dem berüchtigten Fernzugriffstrojaner (RAT) DarkGate und Ducktail, die anhand nichttechnischer Marker wie Lockdateien, Zielmuster und Bereitstellungsmethoden ermittelt wird.
- SEO-gestützte Content- und PR-Distribution. Holen Sie sich noch heute Verstärkung.
- PlatoData.Network Vertikale generative KI. Motiviere dich selbst. Hier zugreifen.
- PlatoAiStream. Web3-Intelligenz. Wissen verstärkt. Hier zugreifen.
- PlatoESG. Kohlenstoff, CleanTech, Energie, Umwelt, Solar, Abfallwirtschaft. Hier zugreifen.
- PlatoHealth. Informationen zu Biotechnologie und klinischen Studien. Hier zugreifen.
- Quelle: https://www.darkreading.com/threat-intelligence/ducktail-malware-targets-fashion-industry
- :hast
- :Ist
- :nicht
- :Wo
- 1
- 2021
- 2FA
- 7
- a
- Zugang
- Konto
- Trading Konten
- über
- aktiv
- aktiv
- Aktivität
- Akteure
- Zusatz
- Zusätzliche
- Adressen
- Fügt
- geschickt
- Siehe Werbung
- beraten
- gegen
- Alle
- neben
- ebenfalls
- amelia
- an
- Analytiker
- Analytik
- und
- Anomalien
- Antivirus
- Bienen
- appellieren
- Anwendung
- Ansatz
- Archiv
- SIND
- AS
- annehmen
- At
- Attacke
- Anschläge
- Versuche
- Authentic
- Authentifizierung
- Avenue
- vermeiden
- basierend
- BE
- war
- Bevor
- begonnen
- hinter
- zwischen
- Marken
- Browser
- Browsing
- bauen
- Vertrauen aufbauen
- baut
- Geschäft
- by
- Kampagnen (Campaign)
- CAN
- Karriere
- Vorsicht
- Herausforderungen
- Änderungen
- Chrome
- Chrome-Browser
- Unternehmen
- Komponente
- Kompromittiert
- Bestätigung
- Verbindung
- konsequent
- Inhalt
- Cookies
- Kernbereich
- verdorben
- Ländern
- Gefertigt
- schafft
- Referenzen
- Kommunikation
- Cyber-Kriminalität
- Täuschung
- Standard
- liefern
- Lieferanten
- Demographie
- Synergie
- Detaillierung
- Details
- erkannt
- Entdeckung
- entschlossen
- Gerät
- DID
- nach unten
- Dutzend
- eingebettet
- Mitarbeiter
- ermöglichen
- ermöglichen
- Entwicklung
- Eingabe
- Sogar
- sich entwickelnden
- Ausführung
- Erklärt
- Ausnutzen
- Erweiterung
- Erweiterungen
- Fälschung
- Fashion
- Modemarken
- Reichen Sie das
- Mappen
- Revolution
- Aussichten für
- für
- Richte deinen Sinn auf das,
- gegeben
- Google Chrome
- Gruppe an
- Haben
- Hosting
- aber
- HTTPS
- identifizieren
- Image
- Bilder
- zu unterstützen,
- in
- zeigt
- Energiegewinnung
- Information
- installieren
- Intelligenz
- beabsichtigt
- Absicht
- intern
- in
- IT
- SEINE
- selbst
- Job
- jpg
- Kaspersky
- Sprache
- neueste
- am wenigsten
- Echt
- Nutzung
- wahrscheinlich
- Makros
- Malware
- Manager
- Marketing
- Kann..
- Medien
- Methoden
- Min.
- verpassen
- Überwachung
- mehr
- Multifaktor-Authentifizierung
- Netto-
- Neu
- bekannt
- Notizen
- berüchtigt
- jetzt an
- Ziel
- verdeckt
- of
- Offline-Bereich.
- XNUMXh geöffnet
- Eröffnung
- öffnet
- Betrieb
- Organisationen
- Andere
- aussen
- besondere
- Passwort
- Password Manager
- Weg
- Muster
- persönliche
- Plato
- Datenintelligenz von Plato
- PlatoData
- Punkte
- Powershell
- früher
- Produkte
- Professionell
- Profis
- Programmierung
- Risiken zu minimieren
- Öffentlichkeit
- RAT
- lieber
- empfehlen
- in Bezug auf
- Relevanz
- entfernt
- Fernzugriff
- berichten
- Zugriffe
- Forscher
- Wiederverwendung
- s
- Schutzmaßnahmen
- Gerettet
- sagt
- Skript
- Sicherheitdienst
- auf der Suche nach
- in XNUMX Minuten
- senden
- Absender
- sendet
- empfindlich
- geschickt
- Server
- sie
- verschieben
- sollte
- Schläge
- da
- am Standort
- skeptisch
- Social Media
- Soziale Technik
- Social Media
- Raffinesse
- spezifisch
- Spot
- Unser Team
- Staaten
- gestohlen
- Strategisch
- Strategien
- Stärkt
- so
- Taktik
- zugeschnitten
- gemacht
- Target
- Targeting
- Ziele
- Teams
- Techniken
- als
- zur Verbesserung der Gesundheitsgerechtigkeit
- Das
- ihr
- Sie
- dann
- vom Nutzer definierten
- basierte Online-to-Offline-Werbezuordnungen von anderen gab.
- fehlen uns die Worte.
- Bedrohung
- Bedrohungsakteure
- nach drei
- Durch
- zu
- trainiert
- Ausbildung
- ausgelöst
- Trojan
- Vertrauen
- Ungewöhnlich
- Unerwartet
- Vereinigt
- USA
- Unverlangt
- auf
- -
- verwendet
- Verwendung von
- üblich
- überprüfen
- Version
- Opfer
- Vietnam
- Optionsscheine
- Ansehen
- bekannt
- welche
- mit
- Arbeiten
- würde
- Zephyrnet