Ducktail は、最新のキャンペーンでファッション業界のマーケティング専門家をターゲットにしています。このキャンペーンでは、脅威アクターは、PDF ファイルに偽装した悪意のある実行可能ファイルと一緒に、有名企業の正規品の画像を含むアーカイブを送信します。
によると、 レポート Kaspersky からのマルウェアは、実行されると、求人情報の詳細が記載された本物の埋め込み PDF を開き、積極的に転職を希望しているマーケティング専門家にアピールするように攻撃を仕掛けます。
このマルウェアの目的は、Facebook のビジネス アカウントや広告アカウントを盗むことに長けたブラウザ拡張機能をインストールすることであり、おそらく盗んだ認証情報を販売することを目的としています。
報告書は、この戦略的変化は、特定の専門家層を悪用するために調整されたダックテイルの攻撃手法が進化していることを示していると指摘しました。
Ducktail マルウェア感染ルーチンの内部
被害者が悪意のあるファイルを開くと、PowerShell スクリプト (param.ps1) と偽の PDF ファイルがデバイスのパブリック ディレクトリに保存されます。
このスクリプトは、デフォルトの PDF ビューアによってトリガーされ、偽の PDF を開いて一時停止し、Chrome ブラウザをシャットダウンします。
同時に、この攻撃は、不正なブラウザ拡張ファイルを Google Chrome ディレクトリに保存し、Google Docs Offline 拡張機能に見せかけます。マルウェアは、拡張機能をホストするためのパスを変更する可能性があります。
隠蔽されたコア スクリプトは、開いているブラウザ タブの詳細をコマンド アンド コントロール (C2) サーバーに一貫して送信します。
Facebook 関連の URL が検出された場合、拡張機能は広告とビジネス アカウントを盗み、Cookie とアカウントの詳細を抽出しようとします。
2 要素認証 (2FA) をバイパスするために、拡張機能は Facebook API リクエストとベトナムの 2fa[.]live サービスを使用します。盗まれた認証情報はベトナムに拠点を置く CXNUMX に送信されます。
このキャンペーンでは、追加のスクリプト (jquery-3.3.1.min.js) が拡張機能フォルダーに保存されます。これは、以前の攻撃によるコア スクリプトの破損したバージョンです。
攻撃者は、通常の .NET アプリケーション アプローチから離れ、プログラミング言語として Delphi を利用する新しいアプローチを採用しています。
ダックテールサイバー攻撃から身を守る方法
Ducktail マルウェア キャンペーンでは Delphi プログラミング言語が使用されており、この言語の珍しいシグネチャ ベースのウイルス対策保護ではこの脅威を見逃してしまう可能性があるため、セキュリティ チームにとって検出の課題が生じています。
「監視を改善するには、組織はより多くの行動ベースの分析とヒューリスティック監視を採用して、悪意のあるアクティビティを示す異常を特定する必要があります」と Menlo Security の脅威インテリジェンス アナリスト、Amelia Buck 氏は説明します。
彼女は、誤解を招くことを目的としたカスタマイズされた攻撃を想定して、特にマーケティング チームはソーシャル エンジニアリングを発見できるように訓練される必要があると述べています。
「ソーシャル エンジニアリング戦術に関しては、有名なファッション ブランドの製品の正規品に見える画像ファイルは、感染した PDF を配信する前に信頼を構築します」とバック氏は指摘します。
同氏は、トレーニングでは、スタッフに対し、外部送信者からの一方的なファイルに懐疑的になること、マクロの有効化を避けること、予期せぬ添付ファイルを開く前に内部確認を通じて確認することをアドバイスする必要があると指摘した。
「仕事に関連したコンテンツであっても注意が必要です。関連性によって欺瞞に対する信頼性が高まるからです」と彼女は説明します。 「従業員は、サイトが正規のものであると考えるのではなく、送信者アドレスのなりすましも検査する必要があります。」
彼女は、ブラウザ拡張コンポーネントには安全対策も保証されていると付け加え、すべてのスタッフがソーシャル メディアや機密情報を含むその他のアカウントに対して多要素認証を有効にすることを推奨しています。
「しかし、これに頼るべきではありません」と彼女は説明します。 「また、サードパーティの拡張機能に資格情報を入力することを控え、未承認のブラウザ拡張機能のインストールに注意し、個人的なブラウジングに仕事用の資格情報を使用することも避ける必要があります。」
パスワード マネージャーを提供すると、侵害されたアカウント間でのパスワードの再利用に対するアカウント セキュリティも強化されます。
ダックテイルの絶え間ない脅威
Ducktail は少なくとも 2021 年 XNUMX 月から活動しており、 影響を受けるユーザー 米国および他の XNUMX 以上の国で Facebook ビジネス アカウントを利用しています。
Ducktail の背後にあるベトナムを拠点とする金融サイバー犯罪活動は、攻撃戦略の適応性を一貫して実証してきました。
LinkedIn をスピア フィッシングのターゲットの手段として使用することに加えて、 以前のキャンペーン、Ducktailグループは現在使用を開始しています ユーザーをターゲットにする WhatsApp.
サイバーセキュリティ研究者 最近発見された 悪名高い DarkGate リモート アクセス トロイの木馬 (RAT) と Ducktail との関係。ルアー ファイル、ターゲット パターン、配信方法などの非技術的なマーカーから特定されます。
- SEO を活用したコンテンツと PR 配信。 今日増幅されます。
- PlatoData.Network 垂直生成 Ai。 自分自身に力を与えましょう。 こちらからアクセスしてください。
- プラトアイストリーム。 Web3 インテリジェンス。 知識増幅。 こちらからアクセスしてください。
- プラトンESG。 カーボン、 クリーンテック、 エネルギー、 環境、 太陽、 廃棄物管理。 こちらからアクセスしてください。
- プラトンヘルス。 バイオテクノロジーと臨床試験のインテリジェンス。 こちらからアクセスしてください。
- 情報源: https://www.darkreading.com/threat-intelligence/ducktail-malware-targets-fashion-industry
- :持っている
- :は
- :not
- :どこ
- 1
- 2021
- 2FA
- 7
- a
- アクセス
- アカウント
- 越えて
- アクティブ
- 積極的に
- アクティビティ
- 俳優
- 添加
- NEW
- アドレス
- 追加
- 熟達した
- 広告
- アドバイス
- に対して
- すべて
- 並んで
- また
- アメリア
- an
- アナリスト
- 分析論
- および
- 異常
- アンチウイルス
- API
- アピール
- 申し込み
- アプローチ
- アーカイブ
- です
- AS
- 引き受けます
- At
- 攻撃
- 攻撃
- 試み
- 「鑑定済み」のチェックマークが付きます。
- 認証
- 大通り
- 避ける
- ベース
- BE
- き
- 始め
- 背後に
- の間に
- ブランド
- ブラウザ
- ブラウジング
- ビルド
- 信頼を築く
- 構築します
- ビジネス
- by
- キャンペーン
- 缶
- キャリア
- 注意
- 課題
- 変更
- クロム
- クロムブラウザ
- 企業
- コンポーネント
- 損害を受けた
- 確認
- 接続
- 一貫して
- コンテンツ
- クッキー
- 基本
- 破損した
- 国
- 細工された
- 作成します。
- Credentials
- 信頼性
- サイバー犯罪
- 欺瞞
- デフォルト
- 配信する
- 配達
- 人口動態
- 実証
- ディテール
- 細部
- 検出された
- 検出
- 決定
- デバイス
- DID
- ダウン
- ダース
- 埋め込まれた
- 社員
- enable
- 有効にする
- エンジニアリング
- 入る
- さらに
- 進化
- 実行
- 説明
- 悪用する
- エクステンション
- 偽
- ファッション
- ファッションブランド
- File
- ファイナンシャル
- から
- 本物の
- 与えられた
- でログイン
- Google Chrome
- グループ
- 持ってる
- ホスティング
- しかしながら
- HTTPS
- 識別する
- 画像
- 画像
- 改善します
- in
- を示し
- 産業を変えます
- 情報
- install
- インテリジェンス
- 意図された
- 意図
- 内部
- に
- IT
- ITS
- 自体
- ジョブ
- JPG
- カスペルスキー
- 言語
- 最新の
- 最低
- 合法の
- 活用
- 可能性が高い
- マクロ
- マルウェア
- マネージャー
- マーケティング
- 五月..
- メディア
- メソッド
- 分
- ミス
- モニタリング
- 他には?
- 多要素認証
- net
- 新作
- 注意
- ノート
- 悪名高いです
- 今
- 客観
- ぼやけた
- of
- オンライン
- 開いた
- 開設
- 開きます
- 操作
- 組織
- その他
- でる
- 外側
- 特定の
- パスワード
- パスワードマネージャ
- path
- パターン
- 個人的な
- プラトン
- プラトンデータインテリジェンス
- プラトデータ
- ポイント
- PowerShellの
- 前
- 製品
- プロ
- 専門家
- プログラミング
- 守る
- 公共
- RAT
- むしろ
- 推薦する
- に対する
- 関連性
- リモート
- リモートアクセス
- レポート
- リクエスト
- 研究者
- 再利用
- s
- 保障措置
- 保存されました
- 言う
- スクリプト
- セキュリティ
- を求める
- 販売
- 送信
- トランスミッタ
- 送る
- 敏感な
- 送信
- サービス
- 彼女
- シフト
- すべき
- シャット
- から
- ウェブサイト
- 懐疑的な
- 社会
- ソーシャルエンジニアリング
- ソーシャルメディア
- 洗練された
- 特定の
- Spot
- スタッフ
- 米国
- 盗まれました
- 戦略的
- 作戦
- 強化する
- そのような
- 戦術
- テーラード
- 撮影
- ターゲット
- ターゲット
- ターゲット
- チーム
- テクニック
- より
- それ
- アプリ環境に合わせて
- それら
- その後
- 彼ら
- サードパーティ
- この
- 脅威
- 脅威アクター
- 三
- 介して
- 〜へ
- 訓練された
- トレーニング
- トリガ
- トロイの
- 信頼
- アンコモン
- 予期しない
- ユナイテッド
- 米国
- 要求されていない
- に
- つかいます
- 使用されます
- いつもの
- 確認する
- バージョン
- 被害者
- ベトナム
- ワラント
- よく見る
- 周知
- which
- 仕事
- でしょう
- ゼファーネット