В своей последней кампании Ducktail нацелен на маркетологов индустрии моды, в ходе которой злоумышленники рассылают архивы, содержащие изображения подлинных продуктов известных компаний, а также вредоносный исполняемый файл, замаскированный под PDF-файл.
В соответствии с отчету от Касперского, при запуске вредоносная программа открывает подлинный встроенный PDF-файл с подробной информацией о вакансии. Атака создана для того, чтобы привлечь специалистов по маркетингу, активно стремящихся сменить карьеру.
Целью вредоносного ПО является установка расширения для браузера, предназначенного для кражи бизнес-аккаунтов и рекламных аккаунтов Facebook, с вероятным намерением продать украденные учетные данные.
В отчете отмечается, что этот стратегический сдвиг указывает на растущую сложность методов атак Ducktail, адаптированных для использования конкретной профессиональной демографической группы.
Внутри процедуры заражения вредоносным ПО Ducktail
Когда жертва открывает вредоносный файл, она сохраняет сценарий PowerShell (param.ps1) и поддельный PDF-файл в общедоступном каталоге устройства.
Сценарий, запускаемый программой просмотра PDF-файлов по умолчанию, открывает поддельный PDF-файл, приостанавливает работу, а затем закрывает браузер Chrome.
Одновременно с этим атака сохраняет обманные файлы расширений браузера в каталоге Google Chrome, маскируясь под автономное расширение Google Docs. Вредоносная программа может изменить свой путь для размещения расширения.
Скрытый базовый сценарий последовательно отправляет сведения об открытых вкладках браузера на сервер управления и контроля (C2).
Если обнаружены URL-адреса, связанные с Facebook, расширение пытается украсть рекламу и бизнес-аккаунты, извлекая файлы cookie и данные аккаунта.
Для обхода двухфакторной аутентификации (2FA) расширение использует запросы Facebook API и сервис 2fa[.]live из Вьетнама. Украденные учетные данные отправляются в C2, базирующийся во Вьетнаме.
В этой кампании в папке расширения сохраняется дополнительный скрипт (jquery-3.3.1.min.js), который представляет собой поврежденную версию основного скрипта от предыдущих атак.
Злоумышленники применили новый подход, используя Delphi в качестве языка программирования, отойдя от своего обычного подхода к приложениям .NET.
Как защититься от кибератак Ducktail
Использование языка программирования Delphi в кампании вредоносного ПО Ducktail создает проблемы обнаружения для групп безопасности, поскольку необычная антивирусная защита на основе сигнатур языка может пропустить эту угрозу.
«Чтобы улучшить мониторинг, организациям следует использовать больше поведенческой аналитики и эвристического мониторинга для выявления аномалий, указывающих на вредоносную активность», — объясняет Амелия Бак, аналитик по анализу угроз в Menlo Security.
Она говорит, что маркетинговые команды, в частности, должны быть обучены распознавать социальную инженерию, учитывая специально разработанные атаки, призванные ввести их в заблуждение.
«Что касается тактики социальной инженерии, законно выглядящие файлы изображений продуктов известных модных брендов вызывают доверие еще до доставки зараженных PDF-файлов», — отмечает Бак.
Она отмечает, что обучение должно давать сотрудникам рекомендации скептически относиться к нежелательным файлам от внешних отправителей, избегать включения макросов и проверять неожиданные вложения посредством внутреннего подтверждения перед открытием.
«Следует проявлять осторожность даже с контентом, имеющим отношение к работе, поскольку релевантность повышает вероятность обмана», — объясняет она. «Сотрудникам также следует проверять адреса отправителей на предмет подделки, а не предполагать, что сайт является законным».
Она добавляет, что компонент расширения браузера также требует мер безопасности, рекомендуя всем сотрудникам включить многофакторную аутентификацию для социальных сетей и других учетных записей, содержащих конфиденциальную информацию.
«Однако на это не следует полагаться», — объясняет она. «Им также следует воздерживаться от ввода учетных данных в сторонние расширения, следить за несанкционированной установкой расширений браузера и избегать использования рабочих учетных данных для личного просмотра».
Наличие менеджера паролей также повысит безопасность учетных записей от повторного использования паролей в скомпрометированных учетных записях.
Постоянная угроза Утиного хвоста
Ducktail активен как минимум с мая 2021 года и имеет затронутые пользователи с бизнес-аккаунтами Facebook в США и более чем трёх десятках других стран.
Базирующаяся во Вьетнаме операция по борьбе с финансовыми киберпреступлениями, стоящая за Ducktail, последовательно демонстрирует адаптивность в своих стратегиях атак.
Помимо использования LinkedIn в качестве средства целевого фишинга, как это было в предыдущие кампании, группа Ducktail теперь начала использовать WhatsApp для таргетинга пользователей.
Исследователи кибербезопасности недавно обнаруженный связь между пресловутым трояном удаленного доступа DarkGate (RAT) и Ducktail, определяемая по нетехническим маркерам, таким как файлы-приманки, шаблоны таргетинга и методы доставки.
- SEO-контент и PR-распределение. Получите усиление сегодня.
- PlatoData.Network Вертикальный генеративный ИИ. Расширьте возможности себя. Доступ здесь.
- ПлатонАйСтрим. Интеллект Web3. Расширение знаний. Доступ здесь.
- ПлатонЭСГ. Углерод, чистые технологии, Энергия, Окружающая среда, Солнечная, Управление отходами. Доступ здесь.
- ПлатонЗдоровье. Биотехнологии и клинические исследования. Доступ здесь.
- Источник: https://www.darkreading.com/threat-intelligence/ducktail-malware-targets-fashion-industry
- :имеет
- :является
- :нет
- :куда
- 1
- 2021
- 2FA
- 7
- a
- доступ
- Учетная запись
- Учетные записи
- через
- активный
- активно
- деятельность
- актеры
- дополнение
- дополнительный
- адреса
- Добавляет
- искусный
- объявления
- консультировать
- против
- Все
- рядом
- причислены
- Амелия
- an
- аналитик
- аналитика
- и
- аномалии
- антивирус
- API
- обжалование
- Применение
- подхода
- архивам
- МЫ
- AS
- предполагать
- At
- атаковать
- нападки
- попытки
- аутентичный
- Аутентификация
- Проспект
- избежать
- основанный
- BE
- было
- до
- начал
- за
- между
- брендов
- браузер
- просмотр
- строить
- строить доверие
- строит
- бизнес
- by
- Кампания
- CAN
- Карьера
- осторожность
- проблемы
- изменения
- Chrome
- браузер Chrome
- Компании
- компонент
- Ослабленный
- подтверждение
- связи
- последовательно
- содержание
- печенье
- Основные
- поврежден
- страны
- проработаны
- создает
- Полномочия
- Доверие
- киберпреступности
- обман
- По умолчанию
- доставки
- поставка
- Демографическая
- убивают
- Детализация
- подробнее
- обнаруженный
- обнаружение
- определены
- устройство
- DID
- вниз
- дюжина
- встроенный
- сотрудников
- включить
- позволяет
- Проект и
- входящий
- Даже
- развивается
- выполнение
- Объясняет
- Эксплуатировать
- расширение
- расширения
- что его цель
- не настоящие
- Фэшн
- модные бренды
- Файл
- Файлы
- финансовый
- Что касается
- от
- подлинный
- данный
- Google Chrome
- группы
- Есть
- хостинг
- Однако
- HTTPS
- определения
- изображение
- изображений
- улучшать
- in
- указывает
- промышленность
- информация
- устанавливать
- Интеллекта
- предназначенных
- намерение
- в нашей внутренней среде,
- в
- IT
- ЕГО
- саму трезвость
- работа
- JPG
- Kaspersky
- язык
- последний
- наименее
- Законный
- Используя
- Вероятно
- Макрос
- вредоносных программ
- менеджер
- Маркетинг
- Май..
- Медиа
- методы
- мин
- скучать
- Мониторинг
- БОЛЕЕ
- многофакторная аутентификация
- сеть
- Новые
- отметил,
- Заметки
- печально известный
- сейчас
- цель
- затемняется
- of
- оффлайн
- открытый
- открытие
- Откроется
- операция
- организации
- Другое
- внешний
- внешнюю
- особый
- Пароль
- Password Manager
- путь
- паттеранами
- личного
- Платон
- Платон Интеллектуальные данные
- ПлатонДанные
- пунктов
- PowerShell
- предыдущий
- Продукция
- профессиональный
- профессионалы
- Программирование
- для защиты
- что такое варган?
- RAT
- скорее
- рекомендуя
- по
- актуальность
- удаленные
- удаленный доступ
- отчету
- Запросы
- исследователи
- снова использовать
- s
- защитные меры
- сохраняются
- говорит
- скрипт
- безопасность
- поиск
- продажа
- Отправить
- отправитель
- посылает
- чувствительный
- послать
- сервер
- обслуживание
- она
- сдвиг
- должен
- Завершает
- с
- сайте
- скептический
- Соцсети
- Социальная инженерия
- социальные сети
- утонченность
- конкретный
- Спотовая торговля
- Персонал
- Области
- украли
- Стратегический
- стратегий
- укрепляет
- такие
- тактика
- с учетом
- приняты
- цель
- направлены
- направлена против
- команды
- снижения вреда
- чем
- который
- Ассоциация
- их
- Их
- тогда
- они
- сторонние
- этой
- угроза
- актеры угрозы
- три
- Через
- в
- специалистов
- Обучение
- срабатывает
- троянец
- Доверие
- Обычный
- Неожиданный
- Объединенный
- США
- Незапрошенный
- на
- использование
- использования
- через
- обычный
- проверить
- версия
- Жертва
- Вьетнам
- варранты
- Смотреть
- известный
- который
- Работа
- бы
- зефирнет