Ducktail cible les professionnels du marketing de l'industrie de la mode avec sa dernière campagne, dans laquelle les acteurs malveillants envoient des archives contenant des images de produits authentiques d'entreprises bien connues ainsi qu'un exécutable malveillant camouflé sous forme de fichier PDF.
D’après une rapport de Kaspersky, une fois exécuté, le malware ouvre un véritable PDF intégré, détaillant les informations relatives à l'emploi, l'attaque étant conçue pour attirer les professionnels du marketing en recherche active de changement de carrière.
L'objectif du malware est d'installer une extension de navigateur capable de voler les comptes professionnels et publicitaires de Facebook, avec probablement l'intention de vendre les informations d'identification volées.
Le rapport souligne que ce changement stratégique indique une sophistication croissante des techniques d'attaque de Ducktail, adaptées pour exploiter des données démographiques professionnelles spécifiques.
À l’intérieur de la routine d’infection des logiciels malveillants Ducktail
Lorsque la victime ouvre le fichier malveillant, elle enregistre un script PowerShell (param.ps1) et un faux fichier PDF dans le répertoire public de l'appareil.
Le script, déclenché par la visionneuse PDF par défaut, ouvre le faux PDF, fait une pause, puis arrête le navigateur Chrome.
Simultanément, l'attaque enregistre les fichiers d'extension de navigateur trompeurs dans un répertoire Google Chrome, se déguisant en extension Google Docs hors ligne. Le malware peut modifier son chemin d'hébergement de l'extension.
Le script principal obscur envoie systématiquement les détails des onglets ouverts du navigateur à un serveur de commande et de contrôle (C2).
Si des URL liées à Facebook sont détectées, l'extension tente de voler des publicités et des comptes professionnels, en extrayant les cookies et les détails du compte.
Pour contourner l'authentification à deux facteurs (2FA), l'extension utilise les requêtes API de Facebook et le service 2fa[.]live du Vietnam. Les identifiants volés sont envoyés à un C2 basé au Vietnam.
Dans cette campagne, un script supplémentaire (jquery-3.3.1.min.js) est enregistré dans le dossier d'extension, qui est une version corrompue d'un script principal des attaques précédentes.
Les auteurs de la menace ont adopté une nouvelle approche en utilisant Delphi comme langage de programmation, s'écartant de leur approche habituelle des applications .NET.
Comment se protéger contre les cyberattaques Ducktail
L'utilisation du langage de programmation Delphi par la campagne de malware Ducktail crée des problèmes de détection pour les équipes de sécurité, car les protections antivirus inhabituelles basées sur les signatures du langage peuvent passer à côté de cette menace.
« Pour améliorer la surveillance, les organisations devraient recourir davantage à des analyses basées sur le comportement et à une surveillance heuristique pour identifier les anomalies indiquant une activité malveillante », explique Amelia Buck, analyste en renseignement sur les menaces chez Menlo Security.
Elle affirme que les équipes marketing en particulier devraient être formées pour détecter l'ingénierie sociale, face aux attaques sur mesure destinées à les induire en erreur.
"En ce qui concerne les tactiques d'ingénierie sociale, les fichiers image d'apparence légitime de produits de marques de mode bien connues renforcent la confiance avant de livrer les PDF infectés", note Buck.
Elle souligne que la formation devrait conseiller au personnel de se méfier des fichiers non sollicités provenant d'expéditeurs externes, d'éviter d'activer les macros et de vérifier les pièces jointes inattendues via une confirmation interne avant l'ouverture.
« Il faut être prudent même avec le contenu pertinent pour le travail, car la pertinence renforce la crédibilité de la tromperie », explique-t-elle. "Les employés devraient également inspecter les adresses des expéditeurs pour détecter toute usurpation d'identité plutôt que de supposer que le site est légitime."
Elle ajoute que le composant d'extension du navigateur garantit également des garanties, recommandant à tout le personnel d'activer l'authentification multifacteur pour les réseaux sociaux et autres comptes contenant des informations sensibles.
«Il ne faut cependant pas s'y fier», explique-t-elle. "Ils doivent également s'abstenir de saisir leurs informations d'identification dans des extensions tierces, surveiller les installations d'extensions de navigateur non approuvées et éviter d'utiliser leurs informations d'identification professionnelles pour la navigation personnelle."
Fournir un gestionnaire de mots de passe renforcerait également la sécurité des comptes contre la réutilisation des mots de passe sur les comptes compromis.
Menace persistante de Ducktail
Ducktail est actif depuis au moins mai 2021 et a utilisateurs concernés avec des comptes professionnels Facebook aux États-Unis et dans plus de trois douzaines d’autres pays.
L'opération de cybercriminalité financière basée au Vietnam derrière Ducktail a toujours fait preuve d'adaptabilité dans ses stratégies d'attaque.
En plus d'utiliser LinkedIn comme une avenue pour les cibles de harponnage, comme il l'a fait dans campagnes précédentes, le groupe Ducktail a commencé à utiliser WhatsApp pour cibler les utilisateurs.
Chercheurs en cybersécurité récemment découvert une connexion entre le célèbre cheval de Troie d'accès à distance DarkGate (RAT) et Ducktail, déterminée à partir de marqueurs non techniques tels que des fichiers de leurre, des modèles de ciblage et des méthodes de livraison.
- Contenu propulsé par le référencement et distribution de relations publiques. Soyez amplifié aujourd'hui.
- PlatoData.Network Ai générative verticale. Autonomisez-vous. Accéder ici.
- PlatoAiStream. Intelligence Web3. Connaissance Amplifiée. Accéder ici.
- PlatonESG. Carbone, Technologie propre, Énergie, Environnement, Solaire, La gestion des déchets. Accéder ici.
- PlatoHealth. Veille biotechnologique et essais cliniques. Accéder ici.
- La source: https://www.darkreading.com/threat-intelligence/ducktail-malware-targets-fashion-industry
- :possède
- :est
- :ne pas
- :où
- 1
- 2021
- 2FA
- 7
- a
- accès
- Compte
- hybrides
- à travers
- infection
- activement
- activité
- acteurs
- ajout
- Supplémentaire
- adresses
- Ajoute
- adepte
- annonces
- conseiller
- à opposer à
- Tous
- aux côtés de
- aussi
- Amelia
- an
- analyste
- analytique
- ainsi que le
- anomalies
- antivirus
- api
- appel
- Application
- une approche
- les archives
- SONT
- AS
- assumer
- At
- attaquer
- Attaques
- Tentatives
- Les Authentiques
- Authentification
- avenue
- éviter
- basé
- BE
- était
- before
- commencé
- derrière
- jusqu'à XNUMX fois
- Marques
- navigateur
- Parcourir
- construire
- construire la confiance
- construit
- la performance des entreprises
- by
- Campagne
- CAN
- Carrière
- prudence
- globaux
- Modifications
- Chrome
- navigateur chrome
- Sociétés
- composant
- Compromise
- confirmation
- connexion
- régulièrement
- contenu
- biscuits
- Core
- corrompu
- d'exportation
- Fabriqué
- crée des
- Lettres de créance
- Crédibilité
- la cybercriminalité
- tromperie
- Réglage par défaut
- livrer
- page de livraison.
- Démographie
- démontré
- Detailing
- détails
- détecté
- Détection
- déterminé
- dispositif
- DID
- down
- douzaine
- intégré
- employés
- permettre
- permettant
- ENGINEERING
- entrant
- Pourtant, la
- évolution
- exécution
- Explique
- Exploiter
- extension
- extensions
- faux
- Mode
- marques de mode
- Déposez votre dernière attestation
- Fichiers
- la traduction de documents financiers
- Pour
- De
- véritable
- donné
- Google Chrome
- Réservation de groupe
- Vous avez
- hébergement
- Cependant
- HTTPS
- identifier
- image
- satellite
- améliorer
- in
- indique
- industrie
- d'information
- installer
- Intelligence
- prévu
- intention
- interne
- développement
- IT
- SES
- lui-même
- Emploi
- jpg
- Kaspersky
- langue
- Nouveautés
- au
- Legit
- en tirant parti
- Probable
- macros
- malware
- manager
- Stratégie
- Mai..
- Médias
- méthodes
- m.
- manquer
- Stack monitoring
- PLUS
- authentification multifactorielle
- net
- Nouveauté
- noté
- Notes
- célèbre
- maintenant
- objectif
- obscurci
- of
- direct
- ouvert
- ouverture
- ouvre
- opération
- organisations
- Autre
- ande
- au contrôle
- particulier
- Mot de Passe
- Password Manager
- chemin
- motifs
- personnel
- Platon
- Intelligence des données Platon
- PlatonDonnées
- des notes bonus
- PowerShell
- précédent
- Produits
- professionels
- ,une équipe de professionnels qualifiés
- Programmation
- protéger
- public
- RAT
- plutôt
- recommander
- en ce qui concerne
- pertinence
- éloigné
- accès à distance
- rapport
- demandes
- chercheurs
- réutiliser
- s
- garanties
- sauvé
- dit
- scénario
- sécurité
- recherche
- Disponible
- envoyer
- expéditeur
- envoie
- sensible
- envoyé
- serveur
- service
- elle
- décalage
- devrait
- Fermetures
- depuis
- site
- sceptique
- Réseaux sociaux
- Ingénierie sociale
- réseaux sociaux
- sophistication
- groupe de neurones
- Spot
- L'équipe
- États
- volé
- Stratégique
- les stratégies
- Renforce
- tel
- tactique
- tâches
- Target
- ciblage
- objectifs
- équipes
- techniques
- que
- qui
- Les
- leur
- Les
- puis
- l'ont
- des tiers.
- this
- menace
- acteurs de la menace
- trois
- Avec
- à
- qualifié
- Formation
- déclenché
- Trojan
- La confiance
- Rare
- Inattendu
- Uni
- États-Unis
- Non sollicité
- sur
- utilisé
- Usages
- en utilisant
- habituel
- vérifier
- version
- Victime
- Vietnam
- Mandats
- Montres
- bien connu
- qui
- comprenant
- activités principales
- pourra
- zéphyrnet