A Ducktail a divatipar marketingszakembereit célozza meg legújabb kampányával, amelyben a fenyegetés szereplői olyan archívumokat küldenek ki, amelyek ismert cégek hiteles termékeinek képeit tartalmazzák egy PDF-fájlként álcázott rosszindulatú végrehajtható fájl mellett.
A találmány egy jelentést A Kaspersky-től a kártevő a végrehajtás után egy valódi beágyazott PDF-fájlt nyit meg, amely részletesen tartalmazza a munkaköri információkat, és a támadást úgy alakították ki, hogy megszólítsa a karrierváltást kereső marketingszakembereket.
A rosszindulatú program célja egy olyan böngészőbővítmény telepítése, amely alkalmas a Facebook üzleti és hirdetési fiókjainak eltulajdonítására, azzal a szándékkal, hogy az ellopott hitelesítő adatokat eladja.
A jelentés megjegyzi, hogy ez a stratégiai váltás a Ducktail támadási technikáinak kifinomultabbá válását jelzi, amelyeket a professzionális demográfiai jellemzők kihasználására szabtak.
A Ducktail malware fertőzési rutin belsejében
Amikor az áldozat megnyitja a rosszindulatú fájlt, az elment egy PowerShell-szkriptet (param.ps1) és egy hamis PDF-fájlt az eszköz nyilvános könyvtárába.
Az alapértelmezett PDF-megtekintő által elindított szkript megnyitja a hamis PDF-fájlt, szünetelteti, majd leállítja a Chrome böngészőt.
Ezzel egyidejűleg a támadás a megtévesztő böngészőbővítmény-fájlokat a Google Chrome könyvtárába menti, és a Google Docs Offline bővítménynek álcázza magát. A rosszindulatú program megváltoztathatja a bővítmény tárolási útvonalát.
A kitakart alapszkript következetesen elküldi a megnyitott böngészőlapok részleteit egy parancs- és vezérlőkiszolgálónak (C2).
Ha a rendszer Facebookhoz kapcsolódó URL-eket észlel, a bővítmény megkísérli ellopni a hirdetéseket és az üzleti fiókokat, sütiket és fiókadatokat kinyerni.
A kéttényezős hitelesítés (2FA) megkerülésére a bővítmény a Facebook API-kéréseket és a vietnami 2fa[.]élő szolgáltatást használja. Az ellopott hitelesítő adatokat egy vietnami székhelyű C2-re küldik.
Ebben a kampányban a rendszer egy további szkriptet (jquery-3.3.1.min.js) ment a kiterjesztés mappájába, amely a korábbi támadásokból származó alapszkript sérült verziója.
A fenyegetés szereplői új megközelítést alkalmaztak a Delphi programozási nyelvének kihasználásával, eltérve a megszokott .NET-alkalmazási megközelítésüktől.
Hogyan védekezzünk a Ducktail kibertámadások ellen
A Ducktail rosszindulatú programozási kampányban a Delphi programozási nyelv használata felderítési kihívásokat jelent a biztonsági csapatok számára, mivel a nyelv nem mindennapi aláírás-alapú vírusvédelme elkerülheti ezt a fenyegetést.
„A nyomon követés javítása érdekében a szervezeteknek több viselkedésalapú elemzést és heurisztikus megfigyelést kell alkalmazniuk a rosszindulatú tevékenységre utaló rendellenességek azonosítására” – magyarázza Amelia Buck, a Menlo Security fenyegetésintelligencia-elemzője.
Azt mondja, hogy a marketingcsapatokat különösen arra kell képezni, hogy észrevegyék a social engineering-et, tekintettel az őket félrevezetni szándékozó, személyre szabott támadásokra.
„A társadalmi tervezési taktikákat illetően a jól ismert divatmárkák termékeinek legitim megjelenésű képfájljai bizalmat építenek a fertőzött PDF-ek kézbesítése előtt” – jegyzi meg Buck.
Rámutat, hogy a képzésnek azt kell tanácsolnia a személyzetnek, hogy szkeptikusan fogadják a külső feladóktól származó kéretlen fájlokat, kerüljék a makrók engedélyezését, és a megnyitás előtt belső megerősítéssel ellenőrizzék a váratlan mellékleteket.
„Óvatosnak kell lenni még a munkával kapcsolatos tartalmak esetében is, mivel a relevancia növeli a megtévesztés hitelességét” – magyarázza. „Az alkalmazottaknak meg kell vizsgálniuk a feladók címét is, nem hamisításra, ahelyett, hogy azt feltételeznék, hogy a webhely legális.”
Hozzáteszi, hogy a böngészőbővítmény komponense is garantálja a biztosítékokat, és azt javasolja, hogy minden alkalmazott engedélyezze a többtényezős hitelesítést a közösségi médiában és más, érzékeny információkat tartalmazó fiókokban.
„Ebben azonban nem szabad támaszkodni” – magyarázza. "Tartózkodniuk kell attól is, hogy harmadik féltől származó bővítményekbe adjanak meg hitelesítési adatokat, figyeljenek a nem jóváhagyott böngészőbővítmények telepítésére, és kerüljék a munkahelyi hitelesítő adatok személyes böngészésre történő használatát."
A jelszókezelő biztosítása a fiókok biztonságát is megerősítené a jelszavak újrafelhasználásával szemben a feltört fiókokban.
Ducktail tartós fenyegetése
A Ducktail legalább 2021 májusa óta aktív érintett felhasználók Facebook üzleti fiókokkal az Egyesült Államokban és több mint három tucat másik országban.
A Ducktail mögött álló vietnami pénzügyi kiberbűnözés elleni hadművelet támadási stratégiáiban következetesen alkalmazkodóképességet mutatott.
Amellett, hogy a LinkedIn-t lándzsás adathalász célpontok sugárútjaként használták, ahogyan az korábbi kampányok, a Ducktail csoport most elkezdte használni WhatsApp a felhasználók megcélzásához.
Kiberbiztonsági kutatók nemrég feltárt kapcsolat a hírhedt DarkGate távelérési trójai (RAT) és a Ducktail között, amelyet nem technikai jelzők, például csalogató fájlok, célzási minták és szállítási módszerek határoznak meg.
- SEO által támogatott tartalom és PR terjesztés. Erősödjön még ma.
- PlatoData.Network Vertical Generative Ai. Erősítse meg magát. Hozzáférés itt.
- PlatoAiStream. Web3 Intelligence. Felerősített tudás. Hozzáférés itt.
- PlatoESG. Carbon, CleanTech, Energia, Környezet, Nap, Hulladékgazdálkodás. Hozzáférés itt.
- PlatoHealth. Biotechnológiai és klinikai vizsgálatok intelligencia. Hozzáférés itt.
- Forrás: https://www.darkreading.com/threat-intelligence/ducktail-malware-targets-fashion-industry
- :van
- :is
- :nem
- :ahol
- 1
- 2021
- 2FA
- 7
- a
- hozzáférés
- Fiók
- Fiókok
- át
- aktív
- aktívan
- tevékenység
- szereplők
- mellett
- További
- címek
- Hozzáteszi
- ügyes
- hirdetések
- tanácsot ad
- ellen
- Minden termék
- mellett
- Is
- Amelia
- an
- elemző
- analitika
- és a
- anomáliák
- víruskereső
- api
- fellebbezés
- Alkalmazás
- megközelítés
- levéltár
- VANNAK
- AS
- feltételezni
- At
- támadás
- Támadások
- Kísérletek
- Hiteles
- Hitelesítés
- Sugárút
- elkerülése érdekében
- alapján
- BE
- óta
- előtt
- megkezdett
- mögött
- között
- márka
- böngésző
- Legelészés
- épít
- bizalmat építeni
- épít
- üzleti
- by
- Kampány
- TUD
- Karrier
- óvatosság
- kihívások
- Változások
- króm
- króm böngésző
- Companies
- összetevő
- Veszélyeztetett
- megerősítés
- kapcsolat
- következetesen
- tartalom
- keksz
- Mag
- sérült
- országok
- kidolgozott
- teremt
- Hitelesítő adatok
- Hitelesség
- a számítógépes bűnözés
- csalódás
- alapértelmezett
- átadó
- kézbesítés
- Demográfiai
- igazolták
- részletezve
- részletek
- észlelt
- Érzékelés
- eltökélt
- eszköz
- DID
- le-
- tucat
- beágyazott
- alkalmazottak
- lehetővé
- lehetővé téve
- Mérnöki
- belépés
- Még
- fejlődik
- végrehajtás
- Elmagyarázza
- Exploit
- kiterjesztés
- kiterjesztések
- hamisítvány
- Divat
- divatmárkák
- filé
- Fájlok
- pénzügyi
- A
- ból ből
- valódi
- adott
- Google Chrome
- Csoport
- Legyen
- tárhely
- azonban
- HTTPS
- azonosítani
- kép
- képek
- javul
- in
- jelzi
- ipar
- információ
- telepíteni
- Intelligencia
- szándékolt
- A szándék
- belső
- bele
- IT
- ITS
- maga
- Munka
- jpg
- Kaspersky
- nyelv
- legutolsó
- legkevésbé
- Legális
- erőfölény
- Valószínű
- Makrók
- malware
- menedzser
- Marketing
- Lehet..
- Média
- mód
- perc
- hiányzik
- ellenőrzés
- több
- többtényezős hitelesítés
- háló
- Új
- neves
- Megjegyzések
- hirhedt
- Most
- célkitűzés
- kitakart
- of
- Nem elérhető
- nyitva
- nyitás
- nyit
- működés
- szervezetek
- Más
- ki
- kívül
- különös
- Jelszó
- Password Manager
- ösvény
- minták
- személyes
- Plató
- Platón adatintelligencia
- PlatoData
- pont
- PowerShell
- előző
- Termékek
- szakmai
- tehetséges alkalmazottal
- Programozás
- védelme
- nyilvános
- PATKÁNY
- Inkább
- ajánló
- tekintettel
- relevancia
- távoli
- távoli hozzáférés
- jelentést
- kéri
- kutatók
- újra
- s
- biztosítékok
- mentett
- azt mondja,
- forgatókönyv
- biztonság
- keres
- Eladási
- küld
- feladó
- küld
- érzékeny
- küldött
- szerver
- szolgáltatás
- ő
- váltás
- kellene
- kikapcsol
- óta
- weboldal
- szkeptikus
- Közösség
- Szociális tervezés
- Közösségi média
- kifinomultság
- különleges
- Spot
- Személyzet
- Államok
- lopott
- Stratégiai
- stratégiák
- erősíti
- ilyen
- taktika
- szabott
- meghozott
- cél
- célzás
- célok
- csapat
- technikák
- mint
- hogy
- A
- azok
- Őket
- akkor
- ők
- harmadik fél
- ezt
- fenyegetés
- fenyegetés szereplői
- három
- Keresztül
- nak nek
- kiképzett
- Képzések
- váltott
- trójai
- Bízzon
- Ritka
- Váratlan
- Egyesült
- Egyesült Államok
- Kéretlen
- upon
- használ
- használ
- segítségével
- szokásos
- ellenőrzése
- változat
- Áldozat
- Vietnám
- szavatolja
- Nézz
- jól ismert
- ami
- val vel
- Munka
- lenne
- zephyrnet