Ducktail vizează profesioniștii de marketing din industria modei cu cea mai recentă campanie, în care actorii amenințărilor trimit arhive care conțin imagini cu produse autentice de la companii binecunoscute, alături de un executabil rău intenționat camuflat ca fișier PDF.
Potrivit unui raportează de la Kaspersky, la execuție, malware-ul deschide un PDF încorporat autentic, care detaliază informații despre job, atacul fiind conceput pentru a atrage profesioniștii de marketing care caută activ schimbări în carieră.
Obiectivul malware-ului este de a instala o extensie de browser expertă în furtul de conturi de afaceri și reclame Facebook, cu intenția probabilă de a vinde acreditările furate.
Raportul a remarcat că această schimbare strategică indică o sofisticare în evoluție a tehnicilor de atac ale lui Ducktail, adaptate pentru a exploata anumite demografii profesionale.
În interiorul rutinei de infecție cu malware Ducktail
Când victima deschide fișierul rău intenționat, salvează un script PowerShell (param.ps1) și un fișier PDF fals în directorul public al dispozitivului.
Scriptul, declanșat de vizualizatorul PDF implicit, deschide PDF-ul fals, întrerupe și apoi închide browserul Chrome.
Simultan, atacul salvează fișierele cu extensii de browser înșelătoare într-un director Google Chrome, deghându-se în extensie Google Docs Offline. Malware-ul își poate modifica calea pentru găzduirea extensiei.
Scriptul de bază ascuns trimite în mod constant detaliile filelor deschise ale browserului către un server de comandă și control (C2).
Dacă sunt detectate adrese URL legate de Facebook, extensia încearcă să fure reclame și conturi de afaceri, extragând cookie-uri și detalii de cont.
Pentru a ocoli autentificarea cu doi factori (2FA), extensia folosește solicitări Facebook API și serviciul 2fa[.]live din Vietnam. Acreditările furate sunt trimise la un C2 cu sediul în Vietnam.
În această campanie, un script suplimentar (jquery-3.3.1.min.js) este salvat în folderul de extensie, care este o versiune coruptă a unui script de bază din atacurile anterioare.
Actorii amenințărilor au adoptat o nouă abordare utilizând Delphi ca limbaj de programare, pornind de la abordarea obișnuită a aplicației .NET.
Cum să vă protejați împotriva atacurilor cibernetice Ducktail
Folosirea limbajului de programare Delphi de către campania de malware Ducktail creează provocări de detectare pentru echipele de securitate, deoarece protecțiile antivirus neobișnuite ale limbajului, bazate pe semnături, pot rata această amenințare.
„Pentru a îmbunătăți monitorizarea, organizațiile ar trebui să utilizeze mai multe analize bazate pe comportament și monitorizare euristică pentru a identifica anomaliile care indică o activitate rău intenționată”, explică Amelia Buck, analist de informații despre amenințări la Menlo Security.
Ea spune că echipele de marketing, în special, ar trebui să fie instruite să detecteze ingineria socială, având în vedere atacurile personalizate menite să le inducă în eroare.
„În ceea ce privește tacticile de inginerie socială, fișierele de imagine cu aspect legitim ale produselor de la mărci de modă binecunoscute construiesc încredere înainte de a livra PDF-urile infectate”, notează Buck.
Ea subliniază că instruirea ar trebui să sfătuiască personalul să fie sceptic față de fișierele nesolicitate de la expeditori externi, să evite activarea macrocomenzilor și să verifice atașamentele neașteptate prin confirmare internă înainte de deschidere.
„Ar trebui luată prudență chiar și în cazul conținutului relevant pentru muncă, deoarece relevanța crește credibilitatea pentru înșelăciune”, explică ea. „Angajații ar trebui, de asemenea, să inspecteze adresele expeditorilor pentru falsificare, decât să presupună că site-ul este legitim.”
Ea adaugă că componenta de extensie a browserului garantează, de asemenea, garanții, recomandând ca întreg personalul să activeze autentificarea multifactorială pentru rețelele sociale și alte conturi care conțin informații sensibile.
„Totuși, nu ar trebui să se bazeze pe acest lucru”, explică ea. „De asemenea, ar trebui să se abțină de la introducerea acreditărilor în extensiile terțelor părți, să urmărească instalările de extensii de browser neaprobate și să evite utilizarea acreditărilor de serviciu pentru navigarea personală.”
Furnizarea unui manager de parole ar întări, de asemenea, securitatea contului împotriva reutilizarii parolelor în conturile compromise.
Amenințarea persistentă a lui Ducktail
Ducktail este activă cel puțin din mai 2021 și a făcut-o utilizatori afectați cu conturi de afaceri Facebook în Statele Unite și peste trei duzini de alte țări.
Operațiunea de criminalitate cibernetică financiară din Vietnam din spatele Ducktail a demonstrat în mod constant adaptabilitate în strategiile sale de atac.
Pe lângă utilizarea LinkedIn ca o cale pentru ținte de spear-phishing, așa cum a făcut în campaniile anterioare, grupul Ducktail a început să folosească acum WhatsApp pentru a viza utilizatorii.
Cercetători în domeniul securității cibernetice recent descoperit o conexiune între notoriul troian de acces la distanță DarkGate (RAT) și Ducktail, determinată din markeri netehnici, cum ar fi fișierele de momeală, modelele de direcționare și metodele de livrare.
- Distribuție de conținut bazat pe SEO și PR. Amplifică-te astăzi.
- PlatoData.Network Vertical Generative Ai. Împuterniciți-vă. Accesați Aici.
- PlatoAiStream. Web3 Intelligence. Cunoștințe amplificate. Accesați Aici.
- PlatoESG. carbon, CleanTech, Energie, Mediu inconjurator, Solar, Managementul deșeurilor. Accesați Aici.
- PlatoHealth. Biotehnologie și Inteligență pentru studii clinice. Accesați Aici.
- Sursa: https://www.darkreading.com/threat-intelligence/ducktail-malware-targets-fashion-industry
- :are
- :este
- :nu
- :Unde
- 1
- 2021
- 2FA
- 7
- a
- acces
- Cont
- Conturi
- peste
- activ
- activ
- activitate
- actori
- plus
- Suplimentar
- adrese
- Adaugă
- adept
- Anunţuri
- sfătui
- împotriva
- TOATE
- pe langa
- de asemenea
- amelia
- an
- analist
- Google Analytics
- și
- anomalii
- antivirus
- api
- recurs
- aplicație
- abordare
- arhive
- SUNT
- AS
- asuma
- At
- ataca
- Atacuri
- Încercările
- Autentic
- Autentificare
- Bulevard
- evita
- bazat
- BE
- fost
- înainte
- început
- în spatele
- între
- marci
- browser-ul
- Navigare
- construi
- a cladi increderea
- construiește
- afaceri
- by
- Campanie
- CAN
- Carieră
- prudenţă
- provocări
- Modificări
- Chrome
- browserul Chrome
- Companii
- component
- compromis
- confirmare
- conexiune
- consecvent
- conţinut
- fursecuri
- Nucleu
- stricat
- țări
- fabricat
- creează
- scrisori de acreditare
- Credibilitate
- criminalităţii cibernetice
- înşelăciune
- Mod implicit
- livrarea
- livrare
- Criterii demografice
- demonstrat
- detalierea
- detalii
- detectat
- Detectare
- determinat
- dispozitiv
- FĂCUT
- jos
- duzină
- încorporat
- de angajați
- permite
- permițând
- Inginerie
- intrarea
- Chiar
- evoluție
- execuție
- explică
- Exploata
- extensie
- extensii
- fals
- Modă
- mărci de modă
- Fișier
- Fişiere
- financiar
- Pentru
- din
- veritabil
- dat
- Google Chrome
- grup
- Avea
- găzduire
- Totuși
- HTTPS
- identifica
- imagine
- imagini
- îmbunătăţi
- in
- indică
- industrie
- informații
- instala
- Inteligență
- destinate
- scop
- intern
- în
- IT
- ESTE
- în sine
- Loc de munca
- jpg
- Kaspersky
- limbă
- Ultimele
- cel mai puțin
- Legitim
- efectului de pârghie
- Probabil
- macro-uri
- malware
- manager
- Marketing
- Mai..
- Mass-media
- Metode
- minute
- rata
- Monitorizarea
- mai mult
- autentificare multifactor
- net
- Nou
- notat
- notițe
- notoriu
- acum
- obiectiv
- ascuns
- of
- Offline
- deschide
- de deschidere
- deschide
- operaţie
- organizații
- Altele
- afară
- exterior
- special
- Parolă
- manager de parole
- cale
- modele
- personal
- Plato
- Informații despre date Platon
- PlatoData
- puncte
- PowerShell
- precedent
- Produse
- profesional
- profesioniști
- Programare
- proteja
- public
- ŞOBOLAN
- mai degraba
- recomandând
- cu privire la
- relevanţa
- la distanta
- acces de la distanță
- raportează
- cereri de
- cercetători
- reutilizarea
- s
- garanții
- salvate
- spune
- scenariu
- securitate
- caută
- De vânzare
- trimite
- expeditor
- trimite
- sensibil
- trimis
- serverul
- serviciu
- ea
- schimbare
- să
- închiderile
- întrucât
- teren
- sceptic
- Social
- Inginerie sociala
- social media
- rafinament
- specific
- Loc
- Personal
- Statele
- furate
- Strategic
- strategii
- intareste
- astfel de
- tactică
- adaptate
- luate
- Ţintă
- direcționare
- obiective
- echipe
- tehnici de
- decât
- acea
- lor
- Lor
- apoi
- ei
- terț
- acest
- amenințare
- actori amenințători
- trei
- Prin
- la
- dresat
- Pregătire
- a declanșat
- troian
- Încredere
- neobișnuit
- Neașteptat
- Unit
- Statele Unite
- nesolicitat
- pe
- utilizare
- utilizări
- folosind
- ca de obicei
- verifica
- versiune
- Victimă
- Vietnam
- Warrant
- Ceas
- bine cunoscut
- care
- cu
- Apartamente
- ar
- zephyrnet