Ducktail มุ่งเป้าไปที่ผู้เชี่ยวชาญด้านการตลาดในอุตสาหกรรมแฟชั่นด้วยแคมเปญล่าสุด โดยผู้คุกคามจะส่งเอกสารสำคัญที่มีภาพผลิตภัณฑ์ของแท้จากบริษัทที่มีชื่อเสียง ควบคู่ไปกับไฟล์ปฏิบัติการที่เป็นอันตรายซึ่งพรางตัวเป็นไฟล์ PDF
ตาม รายงาน ทันทีที่ Kaspersky ดำเนินการ มัลแวร์จะเปิดไฟล์ PDF ของแท้ที่ฝังไว้ โดยมีรายละเอียดข้อมูลงาน พร้อมการโจมตีที่ออกแบบมาเพื่อดึงดูดนักการตลาดที่กระตือรือร้นที่กำลังมองหาการเปลี่ยนแปลงอาชีพ
วัตถุประสงค์ของมัลแวร์คือการติดตั้งส่วนขยายเบราว์เซอร์ที่เชี่ยวชาญในการขโมยบัญชีธุรกิจและโฆษณาของ Facebook โดยมีแนวโน้มที่จะขายข้อมูลรับรองที่ถูกขโมย
รายงานระบุว่าการเปลี่ยนแปลงเชิงกลยุทธ์นี้บ่งชี้ถึงความซับซ้อนที่พัฒนาในเทคนิคการโจมตีของ Ducktail ซึ่งได้รับการปรับแต่งเพื่อใช้ประโยชน์จากกลุ่มประชากรมืออาชีพโดยเฉพาะ
ภายในกิจวัตรการติดเชื้อมัลแวร์ Ducktail
เมื่อเหยื่อเปิดไฟล์ที่เป็นอันตราย มันจะบันทึกสคริปต์ PowerShell (param.ps1) และไฟล์ PDF ปลอมไปยังไดเร็กทอรีสาธารณะของอุปกรณ์
สคริปต์ซึ่งเปิดใช้งานโดยโปรแกรมดู PDF เริ่มต้นจะเปิด PDF ปลอม หยุดชั่วคราว จากนั้นปิดเบราว์เซอร์ Chrome
ในขณะเดียวกัน การโจมตีจะบันทึกไฟล์ส่วนขยายของเบราว์เซอร์ที่หลอกลวงไปยังไดเร็กทอรีของ Google Chrome โดยปลอมตัวเป็นส่วนขยายของ Google Docs Offline มัลแวร์สามารถเปลี่ยนเส้นทางในการโฮสต์ส่วนขยายได้
สคริปต์หลักที่ถูกปิดบังจะส่งรายละเอียดของแท็บเบราว์เซอร์ที่เปิดอยู่ไปยังเซิร์ฟเวอร์คำสั่งและการควบคุม (C2) อย่างสม่ำเสมอ
หากตรวจพบ URL ที่เกี่ยวข้องกับ Facebook ส่วนขยายจะพยายามขโมยโฆษณาและบัญชีธุรกิจ โดยแยกคุกกี้และรายละเอียดบัญชี
หากต้องการข้ามการตรวจสอบสิทธิ์แบบสองปัจจัย (2FA) ส่วนขยายจะใช้คำขอ Facebook API และบริการสด 2fa[.] จากเวียดนาม ข้อมูลประจำตัวที่ถูกขโมยจะถูกส่งไปยัง C2 ซึ่งตั้งอยู่ในเวียดนาม
ในแคมเปญนี้ สคริปต์เพิ่มเติม (jquery-3.3.1.min.js) จะถูกบันทึกลงในโฟลเดอร์ส่วนขยาย ซึ่งเป็นเวอร์ชันที่เสียหายของสคริปต์หลักจากการโจมตีครั้งก่อน
ผู้คุกคามได้ใช้แนวทางใหม่โดยใช้ประโยชน์จาก Delphi เป็นภาษาการเขียนโปรแกรม โดยแยกจากแนวทางแอปพลิเคชัน .NET ตามปกติ
วิธีป้องกันการโจมตีทางไซเบอร์ Ducktail
การใช้ภาษาการเขียนโปรแกรม Delphi ของแคมเปญมัลแวร์ Ducktail สร้างความท้าทายในการตรวจจับสำหรับทีมรักษาความปลอดภัย เนื่องจากการป้องกันไวรัสที่ใช้ลายเซ็นที่ไม่ธรรมดาของภาษาอาจพลาดภัยคุกคามนี้
“เพื่อปรับปรุงการตรวจสอบ องค์กรต่างๆ ควรใช้การวิเคราะห์ตามพฤติกรรมและการตรวจสอบพฤติกรรมมากขึ้นเพื่อระบุความผิดปกติที่บ่งบอกถึงกิจกรรมที่เป็นอันตราย” Amelia Buck นักวิเคราะห์ข่าวกรองภัยคุกคามที่ Menlo Security อธิบาย
เธอกล่าวว่าทีมการตลาดโดยเฉพาะควรได้รับการฝึกอบรมให้ตรวจจับวิศวกรรมสังคม เนื่องจากการโจมตีที่ออกแบบมาเพื่อทำให้พวกเขาเข้าใจผิด
“เกี่ยวกับกลยุทธ์วิศวกรรมสังคม ไฟล์รูปภาพของผลิตภัณฑ์จากแบรนด์แฟชั่นที่มีชื่อเสียงที่มีลักษณะถูกต้องตามกฎหมายจะสร้างความไว้วางใจก่อนที่จะส่งไฟล์ PDF ที่ติดไวรัส” Buck กล่าว
เธอชี้ให้เห็นว่าการฝึกอบรมควรแนะนำให้พนักงานสงสัยไฟล์ไม่พึงประสงค์จากผู้ส่งภายนอก หลีกเลี่ยงการเปิดใช้งานมาโคร และตรวจสอบไฟล์แนบที่ไม่คาดคิดผ่านการยืนยันภายในก่อนเปิด
“ควรใช้ความระมัดระวังแม้จะมีเนื้อหาที่เกี่ยวข้องกับงาน เนื่องจากความเกี่ยวข้องจะสร้างความน่าเชื่อถือสำหรับการหลอกลวง” เธออธิบาย “พนักงานควรตรวจสอบที่อยู่ของผู้ส่งเพื่อการปลอมแปลง แทนที่จะถือว่าไซต์นั้นถูกต้องตามกฎหมาย”
เธอเสริมว่าส่วนประกอบส่วนขยายเบราว์เซอร์ยังรับประกันการป้องกัน โดยแนะนำให้พนักงานทุกคนเปิดใช้งานการรับรองความถูกต้องแบบหลายปัจจัยสำหรับโซเชียลมีเดียและบัญชีอื่น ๆ ที่มีข้อมูลที่ละเอียดอ่อน
“อย่างไรก็ตาม เรื่องนี้ไม่ควรเชื่อถือ” เธออธิบาย “พวกเขาควรหลีกเลี่ยงการป้อนข้อมูลรับรองลงในส่วนขยายของบุคคลที่สาม คอยดูการติดตั้งส่วนขยายเบราว์เซอร์ที่ไม่ได้รับอนุมัติ และหลีกเลี่ยงการใช้ข้อมูลรับรองการทำงานเพื่อการเรียกดูแบบส่วนตัว”
การจัดหาผู้จัดการรหัสผ่านจะช่วยเพิ่มความปลอดภัยให้กับบัญชีจากการใช้รหัสผ่านซ้ำในบัญชีที่ถูกบุกรุก
ภัยคุกคามต่อเนื่องของ Ducktail
Ducktail เปิดใช้งานตั้งแต่อย่างน้อยพฤษภาคม 2021 และมี ผู้ใช้ที่ได้รับผลกระทบ ด้วยบัญชีธุรกิจ Facebook ในสหรัฐอเมริกาและอีกกว่าสามสิบประเทศ
ปฏิบัติการอาชญากรรมทางการเงินในโลกไซเบอร์ในเวียดนามที่อยู่เบื้องหลัง Ducktail ได้แสดงให้เห็นถึงความสามารถในการปรับตัวในกลยุทธ์การโจมตีอย่างต่อเนื่อง
นอกเหนือจากการใช้ LinkedIn เป็นช่องทางในการกำหนดเป้าหมายแบบสเปียร์ฟิชชิงอย่างที่เคยทำมาแล้ว แคมเปญก่อนหน้ากลุ่ม Ducktail ได้เริ่มใช้งานแล้ว WhatsApp เพื่อกำหนดเป้าหมายผู้ใช้.
นักวิจัยด้านความปลอดภัยทางไซเบอร์ เพิ่งค้นพบ การเชื่อมต่อระหว่างโทรจันการเข้าถึงระยะไกล (RAT) ของ DarkGate ที่ฉาวโฉ่และ Ducktail ซึ่งพิจารณาจากเครื่องหมายที่ไม่ใช่ทางเทคนิค เช่น ไฟล์ล่อ รูปแบบการกำหนดเป้าหมาย และวิธีการจัดส่ง
- เนื้อหาที่ขับเคลื่อนด้วย SEO และการเผยแพร่ประชาสัมพันธ์ รับการขยายวันนี้
- PlatoData.Network Vertical Generative Ai เพิ่มพลังให้กับตัวเอง เข้าถึงได้ที่นี่.
- เพลโตไอสตรีม. Web3 อัจฉริยะ ขยายความรู้ เข้าถึงได้ที่นี่.
- เพลโตESG. คาร์บอน, คลีนเทค, พลังงาน, สิ่งแวดล้อม แสงอาทิตย์, การจัดการของเสีย. เข้าถึงได้ที่นี่.
- เพลโตสุขภาพ เทคโนโลยีชีวภาพและข่าวกรองการทดลองทางคลินิก เข้าถึงได้ที่นี่.
- ที่มา: https://www.darkreading.com/threat-intelligence/ducktail-malware-targets-fashion-industry
- :มี
- :เป็น
- :ไม่
- :ที่ไหน
- 1
- 2021
- 2FA
- 7
- a
- เข้า
- ลงชื่อเข้าใช้
- บัญชี
- ข้าม
- คล่องแคล่ว
- อย่างกระตือรือร้น
- อยากทำกิจกรรม
- นักแสดง
- นอกจากนี้
- เพิ่มเติม
- ที่อยู่
- เพิ่ม
- เก่ง
- โฆษณา
- แนะนำ
- กับ
- ทั้งหมด
- คู่ขนาน
- ด้วย
- Amelia
- an
- นักวิเคราะห์
- การวิเคราะห์
- และ
- ความผิดปกติ
- โปรแกรมป้องกันไวรัส
- API
- อุทธรณ์
- การใช้งาน
- เข้าใกล้
- หอจดหมายเหตุ
- เป็น
- AS
- สมมติ
- At
- โจมตี
- การโจมตี
- ความพยายามในการ
- จริง
- การยืนยันตัวตน
- ถนน
- หลีกเลี่ยง
- ตาม
- BE
- รับ
- ก่อน
- เริ่ม
- หลัง
- ระหว่าง
- แบรนด์
- เบราว์เซอร์
- Browsing
- สร้าง
- สร้างความไว้วางใจ
- สร้าง
- ธุรกิจ
- by
- รณรงค์
- CAN
- ความก้าวหน้า
- ความระมัดระวัง
- ความท้าทาย
- การเปลี่ยนแปลง
- Chrome
- เบราว์เซอร์ Chrome
- บริษัท
- ส่วนประกอบ
- ที่ถูกบุกรุก
- การยืนยัน
- การเชื่อมต่อ
- เสมอต้นเสมอปลาย
- เนื้อหา
- คุ้กกี้
- แกน
- ความเสียหาย
- ประเทศ
- ที่สร้างขึ้น
- สร้าง
- หนังสือรับรอง
- ความน่าเชื่อถือ
- อาชญากรรม
- การหลอกลวง
- ค่าเริ่มต้น
- การส่งมอบ
- การจัดส่ง
- ประชากร
- แสดงให้เห็นถึง
- รายละเอียด
- รายละเอียด
- ตรวจพบ
- การตรวจพบ
- แน่นอน
- เครื่อง
- DID
- ลง
- โหล
- ที่ฝัง
- พนักงาน
- ทำให้สามารถ
- การเปิดใช้งาน
- ชั้นเยี่ยม
- การป้อน
- แม้
- การพัฒนา
- การปฏิบัติ
- อธิบาย
- เอาเปรียบ
- นามสกุล
- ส่วนขยาย
- เทียม
- แฟชั่น
- แบรนด์แฟชั่น
- เนื้อไม่มีมัน
- ไฟล์
- ทางการเงิน
- สำหรับ
- ราคาเริ่มต้นที่
- แท้
- กำหนด
- Google Chrome
- บัญชีกลุ่ม
- มี
- โฮสติ้ง
- อย่างไรก็ตาม
- HTTPS
- แยกแยะ
- ภาพ
- ภาพ
- ปรับปรุง
- in
- บ่งชี้ว่า
- อุตสาหกรรม
- ข้อมูล
- ติดตั้ง
- Intelligence
- ตั้งใจว่า
- ความตั้งใจ
- ภายใน
- เข้าไป
- IT
- ITS
- ตัวเอง
- การสัมภาษณ์
- jpg
- Kaspersky
- ภาษา
- ล่าสุด
- น้อยที่สุด
- Legit
- การใช้ประโยชน์
- น่าจะ
- แมโคร
- มัลแวร์
- ผู้จัดการ
- การตลาด
- อาจ..
- ภาพบรรยากาศ
- วิธีการ
- นาที
- พลาด
- การตรวจสอบ
- ข้อมูลเพิ่มเติม
- การพิสูจน์ตัวตนแบบหลายปัจจัย
- สุทธิ
- ใหม่
- เด่น
- หมายเหตุ / รายละเอียดเพิ่มเติม
- ฉาวโฉ่
- ตอนนี้
- วัตถุประสงค์
- กร่ำกรุ่น
- of
- ออฟไลน์
- เปิด
- การเปิด
- เปิด
- การดำเนินการ
- องค์กร
- อื่นๆ
- ออก
- ด้านนอก
- ในสิ่งที่สนใจ
- รหัสผ่าน
- จัดการรหัสผ่าน
- เส้นทาง
- รูปแบบ
- รูปแบบไฟล์ PDF
- ส่วนบุคคล
- เพลโต
- เพลโตดาต้าอินเทลลิเจนซ์
- เพลโตดาต้า
- จุด
- PowerShell
- ก่อน
- ผลิตภัณฑ์
- มืออาชีพ
- มืออาชีพ
- การเขียนโปรแกรม
- ป้องกัน
- สาธารณะ
- หนู
- ค่อนข้าง
- แนะนำ
- เกี่ยวกับ
- ความสัมพันธ์กัน
- รีโมท
- การเข้าถึงระยะไกล
- รายงาน
- การร้องขอ
- นักวิจัย
- นำมาใช้ใหม่
- s
- การป้องกัน
- ที่บันทึกไว้
- พูดว่า
- ต้นฉบับ
- ความปลอดภัย
- ที่กำลังมองหา
- Selling
- ส่ง
- ผู้ส่ง
- ส่ง
- มีความละเอียดอ่อน
- ส่ง
- เซิร์ฟเวอร์
- บริการ
- เธอ
- เปลี่ยน
- น่า
- ปิด
- ตั้งแต่
- เว็บไซต์
- ไม่เชื่อ
- สังคม
- วิศวกรรมทางสังคม
- โซเชียลมีเดีย
- ความซับซ้อน
- โดยเฉพาะ
- จุด
- ทักษะ
- สหรัฐอเมริกา
- ที่ถูกขโมย
- ยุทธศาสตร์
- กลยุทธ์
- แข็งแรง
- อย่างเช่น
- กลยุทธ์
- ปรับปรุง
- นำ
- เป้า
- กำหนดเป้าหมาย
- เป้าหมาย
- ทีม
- เทคนิค
- กว่า
- ที่
- พื้นที่
- ของพวกเขา
- พวกเขา
- แล้วก็
- พวกเขา
- ของบุคคลที่สาม
- นี้
- การคุกคาม
- ตัวแสดงภัยคุกคาม
- สาม
- ตลอด
- ไปยัง
- ผ่านการฝึกอบรม
- การฝึกอบรม
- ทริกเกอร์
- โทรจัน
- วางใจ
- ผิดปกติ
- ไม่คาดฝัน
- พร้อมใจกัน
- ประเทศสหรัฐอเมริกา
- ที่ไม่พึงประสงค์
- เมื่อ
- ใช้
- ใช้
- การใช้
- ตามปกติ
- ตรวจสอบ
- รุ่น
- เหยื่อ
- เวียดนาม
- ใบสำคัญแสดงสิทธิ
- นาฬิกา
- โด่งดัง
- ที่
- กับ
- งาน
- จะ
- ลมทะเล