Ducktail prende di mira i professionisti del marketing nel settore della moda con la sua ultima campagna, in cui gli autori della minaccia inviano archivi contenenti immagini di prodotti autentici di aziende note insieme a un file eseguibile dannoso camuffato come file PDF.
Secondo un rapporto da Kaspersky, al momento dell'esecuzione, il malware apre un autentico PDF incorporato, contenente informazioni dettagliate sul lavoro, con l'attacco creato per attrarre i professionisti del marketing che cercano attivamente cambiamenti di carriera.
L'obiettivo del malware è installare un'estensione del browser in grado di rubare account aziendali e pubblicitari di Facebook, con il probabile intento di vendere le credenziali rubate.
Il rapporto rileva che questo cambiamento strategico indica una sofisticazione in evoluzione nelle tecniche di attacco di Ducktail, adattate per sfruttare specifici dati demografici professionali.
All'interno della routine di infezione da malware Ducktail
Quando la vittima apre il file dannoso, salva uno script PowerShell (param.ps1) e un file PDF falso nella directory pubblica del dispositivo.
Lo script, attivato dal visualizzatore PDF predefinito, apre il PDF falso, mette in pausa e quindi chiude il browser Chrome.
Allo stesso tempo, l'attacco salva file di estensione del browser ingannevoli in una directory di Google Chrome, mascherandosi da estensione Google Docs Offline. Il malware può alterare il percorso per ospitare l'estensione.
Lo script principale oscurato invia costantemente i dettagli delle schede aperte del browser a un server di comando e controllo (C2).
Se vengono rilevati URL relativi a Facebook, l'estensione tenta di rubare annunci e account aziendali, estraendo cookie e dettagli dell'account.
Per aggirare l'autenticazione a due fattori (2FA), l'estensione utilizza le richieste API di Facebook e il servizio 2fa[.]live dal Vietnam. Le credenziali rubate vengono inviate a un C2 con sede in Vietnam.
In questa campagna, nella cartella dell'estensione viene salvato uno script aggiuntivo (jquery-3.3.1.min.js), che è una versione danneggiata di uno script principale degli attacchi precedenti.
Gli autori delle minacce hanno adottato un nuovo approccio sfruttando Delphi come linguaggio di programmazione, allontanandosi dal loro consueto approccio alle applicazioni .NET.
Come proteggersi dagli attacchi informatici Ducktail
L'utilizzo del linguaggio di programmazione Delphi da parte della campagna malware Ducktail crea sfide di rilevamento per i team di sicurezza, poiché le insolite protezioni antivirus basate su firma del linguaggio potrebbero non rilevare questa minaccia.
“Per migliorare il monitoraggio, le organizzazioni dovrebbero utilizzare più analisi basate sul comportamento e monitoraggio euristico per identificare anomalie indicative di attività dannose”, spiega Amelia Buck, analista di threat intelligence presso Menlo Security.
Secondo lei, i team di marketing in particolare dovrebbero essere addestrati a individuare l’ingegneria sociale, a causa di attacchi su misura destinati a fuorviarli.
"Per quanto riguarda le tattiche di ingegneria sociale, i file di immagine dall'aspetto legittimo di prodotti di noti marchi di moda creano fiducia prima di consegnare i PDF infetti", osserva Buck.
Sottolinea che la formazione dovrebbe consigliare al personale di essere scettico nei confronti dei file non richiesti provenienti da mittenti esterni, evitare di abilitare le macro e verificare gli allegati imprevisti tramite conferma interna prima dell'apertura.
"Bisogna prestare attenzione anche ai contenuti rilevanti per il lavoro, poiché la pertinenza crea credibilità per l'inganno", spiega. "I dipendenti dovrebbero anche controllare l'eventuale presenza di spoofing negli indirizzi dei mittenti piuttosto che dare per scontato che il sito sia legittimo."
Aggiunge che anche il componente dell'estensione del browser garantisce garanzie, raccomandando a tutto il personale di abilitare l'autenticazione a più fattori per i social media e altri account contenenti informazioni sensibili.
"Tuttavia non si dovrebbe fare affidamento su questo", spiega. "Dovrebbero inoltre astenersi dall'inserire credenziali in estensioni di terze parti, prestare attenzione alle installazioni di estensioni del browser non approvate ed evitare di utilizzare credenziali di lavoro per la navigazione personale."
Fornire un gestore di password rafforzerebbe anche la sicurezza dell’account contro il riutilizzo della password su account compromessi.
La minaccia persistente di Ducktail
Ducktail è attivo almeno da maggio 2021 e lo ha fatto utenti interessati con account aziendali Facebook negli Stati Uniti e in più di tre dozzine di altri paesi.
L’operazione di criminalità informatica finanziaria con sede in Vietnam dietro Ducktail ha costantemente dimostrato adattabilità nelle sue strategie di attacco.
Oltre a utilizzare LinkedIn come via per gli obiettivi di spear phishing, come ha fatto in campagne precedenti, il gruppo Ducktail ha ora iniziato a utilizzare WhatsApp per targettizzare gli utenti.
Ricercatori di cybersecurity scoperto di recente una connessione tra il famigerato Trojan di accesso remoto (RAT) DarkGate e Ducktail, determinata da indicatori non tecnici come file di esca, modelli di targeting e metodi di consegna.
- Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
- PlatoData.Network Generativo verticale Ai. Potenzia te stesso. Accedi qui.
- PlatoAiStream. Intelligenza Web3. Conoscenza amplificata. Accedi qui.
- PlatoneESG. Carbonio, Tecnologia pulita, Energia, Ambiente, Solare, Gestione dei rifiuti. Accedi qui.
- Platone Salute. Intelligence sulle biotecnologie e sulle sperimentazioni cliniche. Accedi qui.
- Fonte: https://www.darkreading.com/threat-intelligence/ducktail-malware-targets-fashion-industry
- :ha
- :È
- :non
- :Dove
- 1
- 2021
- 2FA
- 7
- a
- accesso
- Il mio account
- conti
- operanti in
- attivo
- attivamente
- attività
- attori
- aggiunta
- aggiuntivo
- indirizzi
- Aggiunge
- abile
- Ads - Annunci
- aiutarti
- contro
- Tutti
- a fianco di
- anche
- amelia
- an
- analista
- analitica
- ed
- anomalie
- antivirus
- api
- appello
- Applicazioni
- approccio
- archivio
- SONO
- AS
- assumere
- At
- attacco
- attacchi
- Tentativi
- autentico
- Autenticazione
- Avenue
- evitare
- basato
- BE
- stato
- prima
- iniziato
- dietro
- fra
- marche
- del browser
- navigazione
- costruire
- costruire fiducia
- costruisce
- affari
- by
- Campagna
- Materiale
- Career
- cautela
- sfide
- Modifiche
- Chrome
- browser Chrome
- Aziende
- componente
- Compromissione
- conferma
- veloce
- costantemente
- contenuto
- Cookies
- Nucleo
- danneggiati
- paesi
- artigianale
- crea
- Credenziali
- Credibilità
- cybercrime
- inganno
- Predefinito
- consegna
- consegna
- Dati Demografici
- dimostrato
- Detailing
- dettagli
- rilevato
- rivelazione
- determinato
- dispositivo
- DID
- giù
- dozzina
- incorporato
- dipendenti
- enable
- consentendo
- Ingegneria
- entrare
- Anche
- evoluzione
- esecuzione
- Spiega
- Sfruttare
- estensione
- estensioni
- falso
- Moda
- marchi di moda
- Compila il
- File
- finanziario
- Nel
- da
- genuino
- dato
- Google Chrome
- Gruppo
- Avere
- di hosting
- Tuttavia
- HTTPS
- identificare
- Immagine
- immagini
- competenze
- in
- indica
- industria
- informazioni
- install
- Intelligence
- destinato
- intento
- interno
- ai miglioramenti
- IT
- SUO
- stessa
- Lavoro
- jpg
- Kaspersky
- Lingua
- con i più recenti
- meno
- Legittimo
- leveraging
- probabile
- macro
- il malware
- direttore
- Marketing
- Maggio..
- Media
- metodi
- verbale
- perdere
- monitoraggio
- Scopri di più
- autenticazione a più fattori
- rete
- New
- noto
- Note
- famigerato
- adesso
- obiettivo
- oscurato
- of
- offline
- aprire
- apertura
- apre
- operazione
- organizzazioni
- Altro
- su
- al di fuori
- particolare
- Password
- gestore di password
- sentiero
- modelli
- cronologia
- Platone
- Platone Data Intelligence
- PlatoneDati
- punti
- PowerShell
- precedente
- Prodotti
- professionale
- Scelto dai professionisti
- Programmazione
- protegge
- la percezione
- RAT
- piuttosto
- raccomandando
- per quanto riguarda
- rilevanza
- a distanza
- accesso remoto
- rapporto
- richieste
- ricercatori
- riutilizzare
- s
- garanzie
- salvato
- dice
- copione
- problemi di
- cerca
- Vendita
- inviare
- trasmettitore
- invia
- delicata
- inviato
- server
- servizio
- lei
- spostamento
- dovrebbero
- chiude
- da
- site
- scettico
- Social
- Ingegneria sociale
- Social Media
- raffinatezza
- specifico
- Spot
- STAFF
- stati
- rubare
- Strategico
- strategie
- Rafforza
- tale
- tattica
- su misura
- preso
- Target
- mira
- obiettivi
- le squadre
- tecniche
- di
- che
- Il
- loro
- Li
- poi
- di
- di parti terze standard
- questo
- minaccia
- attori della minaccia
- tre
- Attraverso
- a
- allenato
- Training
- innescato
- Trojan
- Affidati ad
- Raro
- Inaspettato
- Unito
- Stati Uniti
- Unsolicited
- su
- uso
- usa
- utilizzando
- solito
- verificare
- versione
- Vittima
- Vietnam
- warrants
- Orologio
- noto
- quale
- con
- Lavora
- sarebbe
- zefiro