Ducktail on oma viimase kampaaniaga suunatud moetööstuse turundusprofessionaalidele, kus ohus osalejad saadavad koos PDF-failina maskeeritud pahatahtliku käivitatava failiga välja arhiive, mis sisaldavad tuntud ettevõtete autentsete toodete pilte.
Vastavalt aru Kasperskylt avab pahavara käivitamisel ehtsa manustatud PDF-faili, mis sisaldab üksikasjalikku teavet töö kohta, kusjuures rünnak on loodud meelitama turundusspetsialiste, kes otsivad aktiivselt karjäärimuutusi.
Pahavara eesmärk on installida brauseri laiendus, mis on vilunud Facebooki äri- ja reklaamikontode röövimiseks, tõenäoliselt kavatsusega varastatud mandaadid maha müüa.
Aruandes märgiti, et see strateegiline nihe viitab Ducktaili ründetehnikate arenevale keerukusele, mis on kohandatud konkreetse professionaalse demograafia ärakasutamiseks.
Ducktaili pahavaraga nakatumise rutiini sees
Kui ohver avab pahatahtliku faili, salvestab see PowerShelli skripti (param.ps1) ja võlts-PDF-faili seadme avalikku kataloogi.
PDF-i vaikevaaturi käivitatud skript avab võlts-PDF-i, peatab ja sulgeb seejärel Chrome'i brauseri.
Samal ajal salvestab rünnak petlikud brauseri laiendusfailid Google Chrome'i kataloogi, maskeerides end Google Docsi võrguühenduseta laienduseks. Pahavara võib laienduse hostimise teed muuta.
Varjatud põhiskript saadab järjekindlalt avatud brauseri vahekaartide üksikasju käsu-ja-juhtimise (C2) serverisse.
Kui Facebookiga seotud URL-id tuvastatakse, üritab laiendus varastada reklaame ja ettevõttekontosid, eraldades küpsised ja konto üksikasjad.
Kahefaktorilisest autentimisest (2FA) möödahiilimiseks kasutab laiendus Facebooki API päringuid ja Vietnami 2fa[.]reaalajas teenust. Varastatud volikirjad saadetakse Vietnamis asuvasse C2-sse.
Selles kampaanias salvestatakse laienduskausta täiendav skript (jquery-3.3.1.min.js), mis on varasemate rünnakute tõttu rikutud põhiskripti versioon.
Ohutegurid on võtnud kasutusele uue lähenemisviisi, kasutades Delphit oma programmeerimiskeelena, jättes kõrvale oma tavapärasest .NET-rakenduse lähenemisviisist.
Kuidas kaitsta Ducktaili küberrünnakute eest
Ducktaili pahavarakampaania Delphi programmeerimiskeele kasutamine tekitab turvameeskondadele tuvastamisprobleeme, kuna keele aeg-ajalt allkirjapõhised viirusetõrjed võivad selle ohu märkamata jätta.
"Seire parandamiseks peaksid organisatsioonid kasutama rohkem käitumispõhist analüütikat ja heuristlikku jälgimist, et tuvastada pahatahtlikule tegevusele viitavaid kõrvalekaldeid," selgitab Menlo Security ohuluure analüütik Amelia Buck.
Ta ütleb, et eriti turundusmeeskondi tuleks koolitada sotsiaalse manipuleerimise märkamiseks, arvestades kohandatud rünnakuid, mille eesmärk on neid eksitada.
"Mis puudutab sotsiaalse inseneri taktikat, siis tuntud moebrändide toodete õiguspärase välimusega pildifailid tekitavad usaldust enne nakatunud PDF-ide edastamist," märgib Buck.
Ta juhib tähelepanu sellele, et koolitus peaks soovitama töötajatel suhtuda skeptiliselt väliste saatjate soovimatute failide suhtes, vältida makrode lubamist ja kontrollida ootamatuid manuseid sisemise kinnituse kaudu enne avamist.
"Ettevaatlik tuleb olla isegi tööga seotud sisuga, kuna asjakohasus suurendab pettuse usaldusväärsust," selgitab ta. "Töötajad peaksid kontrollima ka saatjate aadresse võltsimise suhtes, mitte eeldama, et sait on legitiimne."
Ta lisab, et brauseri laienduskomponent tagab ka kaitsemeetmed, soovitades kõigil töötajatel võimaldada sotsiaalmeedia ja muude tundlikku teavet sisaldavate kontode mitmefaktorilist autentimist.
"Sellele ei tohiks aga loota," selgitab ta. "Nad peaksid ka hoiduma mandaatide sisestamisest kolmandate osapoolte laiendustesse, jälgima brauserilaiendite kinnitamata installimisi ja vältima töömandaatide kasutamist isiklikuks sirvimiseks."
Paroolihalduri pakkumine tugevdaks ka konto turvalisust paroolide taaskasutamise vastu ohustatud kontodel.
Ducktaili püsiv oht
Ducktail on tegutsenud vähemalt 2021. aasta maist ja on seda teinud mõjutatud kasutajad Facebooki ärikontodega USA-s ja enam kui kolmekümnes teises riigis.
Vietnamis asuv finantsküberkuritegevuse operatsioon Ducktaili taga on järjekindlalt näidanud oma rünnakustrateegiates kohanemisvõimet.
Lisaks LinkedIni kasutamisele oda andmepüügi sihtmärkide leidmiseks, nagu see tehti eelmised kampaaniad, on Ducktaili grupp nüüd kasutama hakanud WhatsApp kasutajate sihtimiseks.
Küberturvalisuse uurijad hiljuti paljastatud ühendus kurikuulsa DarkGate'i kaugjuurdepääsu troojalase (RAT) ja Ducktaili vahel, mis on määratud mittetehniliste markeritega, nagu peibutusfailid, sihtimismustrid ja edastamismeetodid.
- SEO-põhise sisu ja PR-levi. Võimenduge juba täna.
- PlatoData.Network Vertikaalne generatiivne Ai. Jõustage ennast. Juurdepääs siia.
- PlatoAiStream. Web3 luure. Täiustatud teadmised. Juurdepääs siia.
- PlatoESG. Süsinik, CleanTech, Energia, Keskkond päikeseenergia, Jäätmekäitluse. Juurdepääs siia.
- PlatoTervis. Biotehnoloogia ja kliiniliste uuringute luureandmed. Juurdepääs siia.
- Allikas: https://www.darkreading.com/threat-intelligence/ducktail-malware-targets-fashion-industry
- :on
- :on
- :mitte
- : kus
- 1
- 2021
- 2FA
- 7
- a
- juurdepääs
- konto
- Kontod
- üle
- aktiivne
- aktiivselt
- tegevus
- osalejad
- lisamine
- Täiendavad lisad
- aadressid
- Lisab
- vilunud
- kuulutused
- nõustama
- vastu
- Materjal: BPA ja flataatide vaba plastik
- kõrval
- Ka
- amelia
- an
- analüütik
- analytics
- ja
- kõrvalekalded
- viirusetõrje
- API
- kaebus
- taotlus
- lähenemine
- arhiiv
- OLEME
- AS
- eeldab
- At
- rünnak
- Reageerib
- Katsed
- Autentne
- Autentimine
- Puiestee
- vältima
- põhineb
- BE
- olnud
- enne
- alanud
- taga
- vahel
- brändid
- brauseri
- Sirvimine
- ehitama
- usalduse loomine
- Ehitab
- äri
- by
- Kampaania
- CAN
- Karjäär
- ettevaatust
- väljakutseid
- Vaidluste lahendamine
- Kroom
- kroomitud brauser
- Ettevõtted
- komponent
- Kompromissitud
- kinnitus
- ühendus
- järjepidevalt
- sisu
- küpsised
- tuum
- rikutud
- riikides
- meisterdatud
- loob
- volikiri
- usutavus
- Küberkuritegevus
- pettus
- vaikimisi
- edastamine
- tarne
- Demograafia
- Näidatud
- Detailimine
- detailid
- tuvastatud
- Detection
- kindlaksmääratud
- seade
- DID
- alla
- tosin
- varjatud
- töötajad
- võimaldama
- võimaldades
- Inseneriteadus
- Sisse
- Isegi
- areneb
- täitmine
- Selgitab
- Ekspluateeri
- laiendamine
- laiendused
- võlts
- mood
- moemärgid
- fail
- Faile
- finants-
- eest
- Alates
- ehtne
- antud
- Google Chrome
- Grupp
- Olema
- Hosting
- aga
- HTTPS
- identifitseerima
- pilt
- pildid
- parandama
- in
- näitab
- tööstus
- info
- paigaldama
- Intelligentsus
- ette nähtud
- tahtlus
- sisemine
- sisse
- IT
- ITS
- ise
- töö
- jpg
- Kaspersky
- keel
- hiljemalt
- kõige vähem
- legit
- võimendav
- Tõenäoliselt
- makrosid
- malware
- juht
- Turundus
- mai..
- Meedia
- meetodid
- minutit
- miss
- järelevalve
- rohkem
- mitme teguri autentimine
- neto
- Uus
- märkida
- märkused
- kuulsusrikk
- nüüd
- eesmärk
- varjatud
- of
- offline
- avatud
- avamine
- Avaneb
- töö
- organisatsioonid
- Muu
- välja
- väljaspool
- eriline
- Parool
- Password Manager
- tee
- mustrid
- isiklik
- Platon
- Platoni andmete intelligentsus
- PlatoData
- võrra
- PowerShell
- eelmine
- Toodet
- professionaalne
- spetsialistid
- Programming
- kaitsma
- avalik
- ROT
- pigem
- soovitades
- kohta
- asjakohasus
- kauge
- Remote Access
- aru
- Taotlusi
- Teadlased
- taaskasutada
- s
- tagatisi
- salvestatud
- ütleb
- käsikiri
- turvalisus
- otsib
- Müük
- saatma
- saatja
- saadab
- tundlik
- Saadetud
- server
- teenus
- ta
- suunata
- peaks
- Lülitab välja
- alates
- site
- skeptiline
- sotsiaalmeedia
- Sotsiaaltehnoloogia
- Sotsiaalse meedia
- keerukus
- konkreetse
- Kaubandus-
- Personal
- Ühendriigid
- varastatud
- Strateegiline
- strateegiad
- Tugevdab
- selline
- taktika
- kohandatud
- võtnud
- sihtmärk
- sihtimine
- eesmärgid
- meeskonnad
- tehnikat
- kui
- et
- .
- oma
- Neile
- SIIS
- nad
- kolmanda osapoole
- see
- oht
- ohus osalejad
- kolm
- Läbi
- et
- koolitatud
- koolitus
- vallandas
- Trojan
- Usalda
- Aeg-ajalt
- Ootamatu
- Ühendatud
- Ühendriigid
- Pealesunnitud
- peale
- kasutama
- kasutusalad
- kasutamine
- tavaline
- kontrollima
- versioon
- Ohver
- Vietnam
- Garantiid
- Watch
- hästi tuntud
- mis
- koos
- Töö
- oleks
- sephyrnet