Ducktail richt zich met zijn nieuwste campagne op marketingprofessionals in de mode-industrie, waarbij de bedreigingsactoren archieven versturen met afbeeldingen van authentieke producten van bekende bedrijven, naast een kwaadaardig uitvoerbaar bestand gecamoufleerd als pdf-bestand.
Volgens een verslag van Kaspersky opent de malware na uitvoering een echte ingebedde pdf met gedetailleerde functie-informatie, waarbij de aanval is ontworpen om marketingprofessionals aan te spreken die actief op zoek zijn naar carriรจreveranderingen.
Het doel van de malware is het installeren van een browserextensie die bedreven is in het stelen van Facebook-bedrijfs- en advertentieaccounts, met de waarschijnlijke bedoeling de gestolen inloggegevens te verkopen.
Het rapport merkte op dat deze strategische verschuiving wijst op een evoluerende verfijning in de aanvalstechnieken van Ducktail, afgestemd op het exploiteren van specifieke professionele demografische groepen.
Binnen de Ducktail Malware-infectieroutine
Wanneer het slachtoffer het kwaadaardige bestand opent, slaat het een PowerShell-script (param.ps1) en een nep-PDF-bestand op in de openbare map van het apparaat.
Het script, geactiveerd door de standaard PDF-viewer, opent de nep-PDF, pauzeert en sluit vervolgens de Chrome-browser af.
Tegelijkertijd slaat de aanval misleidende browserextensiebestanden op in een Google Chrome-map, vermomd als een Google Docs Offline-extensie. De malware kan het pad voor het hosten van de extensie wijzigen.
Het verborgen kernscript verzendt consequent details van geopende browsertabbladen naar een command-and-control (C2)-server.
Als Facebook-gerelateerde URL's worden gedetecteerd, probeert de extensie advertenties en zakelijke accounts te stelen, waarbij cookies en accountgegevens worden geรซxtraheerd.
Om tweefactorauthenticatie (2FA) te omzeilen, maakt de extensie gebruik van Facebook API-verzoeken en de 2fa[.]live-service uit Vietnam. Gestolen inloggegevens worden naar een C2 in Vietnam gestuurd.
In deze campagne wordt een extra script (jquery-3.3.1.min.js) opgeslagen in de extensiemap, wat een beschadigde versie is van een kernscript van eerdere aanvallen.
De bedreigingsactoren hebben een nieuwe aanpak gekozen door Delphi als programmeertaal te gebruiken, waarbij ze afwijken van hun gebruikelijke .NET-applicatiebenadering.
Hoe u zich kunt beschermen tegen Ducktail-cyberaanvallen
Het gebruik van de Delphi-programmeertaal door de Ducktail-malwarecampagne zorgt voor detectieproblemen voor beveiligingsteams, omdat de ongebruikelijke, op handtekeningen gebaseerde antivirusbescherming van de taal deze dreiging mogelijk over het hoofd ziet.
โOm de monitoring te verbeteren, moeten organisaties meer op gedrag gebaseerde analyses en heuristische monitoring inzetten om afwijkingen te identificeren die wijzen op kwaadwillige activiteitenโ, legt Amelia Buck, threat intelligence-analist bij Menlo Security, uit.
Ze zegt dat met name marketingteams moeten worden getraind in het opmerken van social engineering, gegeven op maat gemaakte aanvallen die bedoeld zijn om hen te misleiden.
โWat de social engineering-tactieken betreft, bouwen de legitiem uitziende afbeeldingsbestanden van producten van bekende modemerken vertrouwen op voordat de geรฏnfecteerde pdfโs worden afgeleverdโ, merkt Buck op.
Ze wijst erop dat training het personeel moet adviseren om sceptisch te zijn tegenover ongevraagde bestanden van externe afzenders, het inschakelen van macro's te vermijden en onverwachte bijlagen te verifiรซren via interne bevestiging voordat ze worden geopend.
โZelfs met werkrelevante inhoud is voorzichtigheid geboden, omdat relevantie de geloofwaardigheid van bedrog vergrootโ, legt ze uit. โWerknemers moeten ook de afzenderadressen controleren op spoofing, in plaats van ervan uit te gaan dat de site legitiem is.โ
Ze voegt eraan toe dat de browserextensiecomponent ook waarborgen garandeert en beveelt aan dat al het personeel multifactor-authenticatie inschakelt voor sociale media en andere accounts die gevoelige informatie bevatten.
โHier mag echter niet op worden vertrouwdโ, legt ze uit. โZe moeten ook afzien van het invoeren van inloggegevens in extensies van derden, letten op niet-goedgekeurde installaties van browserextensies en vermijden dat ze zakelijke inloggegevens gebruiken voor persoonlijk browsen.โ
Het aanbieden van een wachtwoordbeheerder zou ook de accountbeveiliging versterken tegen hergebruik van wachtwoorden voor gecompromitteerde accounts.
De aanhoudende dreiging van Ducktail
Ducktail is in ieder geval sinds mei 2021 actief en heeft dat ook gedaan getroffen gebruikers met zakelijke Facebook-accounts in de Verenigde Staten en meer dan drie dozijn andere landen.
De in Vietnam gevestigde financiรซle cybercriminaliteitsoperatie achter Ducktail heeft consequent blijk gegeven van aanpassingsvermogen in zijn aanvalsstrategieรซn.
Naast het gebruik van LinkedIn als een manier voor spear-phishing-doelen, zoals het deed in eerdere campagnes, is de Ducktail-groep nu gaan gebruiken WhatsApp om gebruikers te targeten.
Cybersecurity-onderzoekers onlangs blootgelegd een verbinding tussen de beruchte DarkGate Remote Access Trojan (RAT) en Ducktail, bepaald op basis van niet-technische markeringen zoals lokbestanden, targetingpatronen en leveringsmethoden.
- Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
- PlatoData.Network Verticale generatieve AI. Versterk jezelf. Toegang hier.
- PlatoAiStream. Web3-intelligentie. Kennis versterkt. Toegang hier.
- PlatoESG. carbon, CleanTech, Energie, Milieu, Zonne, Afvalbeheer. Toegang hier.
- Plato Gezondheid. Intelligentie op het gebied van biotech en klinische proeven. Toegang hier.
- Bron: https://www.darkreading.com/threat-intelligence/ducktail-malware-targets-fashion-industry
- : heeft
- :is
- :niet
- :waar
- 1
- 2021
- 2FA
- 7
- a
- toegang
- Account
- accounts
- over
- actieve
- actief
- activiteit
- actoren
- toevoeging
- Extra
- adressen
- Voegt
- bedreven
- advertenties
- adviseren
- tegen
- Alles
- naast
- ook
- amelia
- an
- analist
- analytics
- en
- anomalieรซn
- antivirus
- api
- hoger beroep
- Aanvraag
- nadering
- archief
- ZIJN
- AS
- ervan uitgaan
- At
- aanvallen
- Aanvallen
- pogingen
- Authentiek
- authenticatie
- Laan
- vermijd
- gebaseerde
- BE
- geweest
- vaardigheden
- begonnen
- achter
- tussen
- merken
- browser
- Bladeren
- bouw
- vertrouwen op te bouwen
- bouwt
- bedrijfsdeskundigen
- by
- Campagne
- CAN
- Carriรจre
- voorzichtigheid
- uitdagingen
- Wijzigingen
- Chrome
- Chrome-browser
- Bedrijven
- bestanddeel
- Aangetast
- bevestiging
- versterken
- consistent
- content
- cookies
- Kern
- corrupt
- landen
- bewerkte
- creรซert
- Geloofsbrieven
- Geloofwaardigheid
- cybercrime
- bedrog
- Standaard
- het leveren van
- levering
- Demografie
- gedemonstreerd
- detaillering
- gegevens
- gedetecteerd
- Opsporing
- vastbesloten
- apparaat
- DEED
- beneden
- dozijn
- ingebed
- medewerkers
- in staat stellen
- waardoor
- Engineering
- het invoeren van
- Zelfs
- evoluerende
- uitvoering
- Verklaart
- Exploiteren
- uitbreiding
- extensies
- nep
- Mode
- modemerken
- Dien in
- Bestanden
- financieel
- Voor
- oppompen van
- echt
- gegeven
- Kopen Google Reviews
- Google Chrome
- Groep
- Hebben
- Hosting
- Echter
- HTTPS
- identificeren
- beeld
- afbeeldingen
- verbeteren
- in
- geeft aan
- -industrie
- informatie
- installeren
- Intelligentie
- bestemde
- aandachtig
- intern
- in
- IT
- HAAR
- zelf
- Jobomschrijving:
- jpg
- Kaspersky
- taal
- laatste
- minst
- Legit
- leveraging
- Waarschijnlijk
- macro's
- malware
- manager
- Marketing
- Mei..
- Media
- methoden
- Min
- missen
- Grensverkeer
- meer
- multifactor authenticatie
- netto
- New
- bekend
- Opmerkingen
- berucht
- nu
- doel van de persoon
- verduisterd
- of
- offline
- open
- opening
- opent
- operatie
- organisaties
- Overige
- uit
- buiten
- bijzonder
- Wachtwoord
- Password Manager
- pad
- patronen
- persoonlijk
- Plato
- Plato gegevensintelligentie
- PlatoData
- punten
- PowerShell
- vorig
- Producten
- professioneel
- professionals
- Programming
- beschermen
- publiek
- RAT
- liever
- bevelen
- met betrekking tot
- relevantie
- vanop
- remote access
- verslag
- verzoeken
- onderzoekers
- hergebruiken
- s
- waarborgen
- gered
- zegt
- script
- veiligheid
- op zoek naar
- binnen XNUMX minuten
- sturen
- afzender
- verzendt
- gevoelig
- verzonden
- server
- service
- ze
- verschuiving
- moet
- Schakelt
- sinds
- website
- sceptisch
- Social
- Social engineering
- social media
- verfijning
- specifiek
- Spot
- Medewerkers
- Staten
- gestolen
- strategisch
- strategieรซn
- Versterkt
- dergelijk
- tactiek
- op maat gemaakt
- ingenomen
- doelwit
- targeting
- doelen
- teams
- technieken
- neem contact
- dat
- De
- hun
- Ze
- harte
- ze
- van derden
- dit
- bedreiging
- bedreigingsactoren
- drie
- Door
- naar
- getraind
- Trainingen
- veroorzaakt
- Trojaans
- Trust
- Uncommon
- Onverwacht
- United
- Verenigde Staten
- Ongevraagd
- op
- .
- toepassingen
- gebruik
- gebruikelijk
- controleren
- versie
- Slachtoffer
- Vietnam
- warrants
- Bekijk de introductievideo
- bekend
- welke
- Met
- Mijn werk
- zou
- zephyrnet