Ducktail, tehdit aktörlerinin tanınmış şirketlerin orijinal ürünlerinin resimlerini içeren arşivlerin yanı sıra PDF dosyası olarak kamufle edilmiş kötü amaçlı bir yürütülebilir dosyanın da gönderildiği son kampanyasıyla moda endüstrisindeki pazarlama profesyonellerini hedef alıyor.
Bir göre rapor Kaspersky'nin sunduğu kötü amaçlı yazılım, yürütüldükten sonra, aktif olarak kariyer değişiklikleri arayan pazarlama profesyonellerine hitap edecek şekilde tasarlanmış saldırıyla birlikte, iş bilgilerinin ayrıntılarını içeren gerçek bir gömülü PDF'yi açıyor.
Kötü amaçlı yazılımın amacı, muhtemelen çalınan kimlik bilgilerini satma niyetiyle, Facebook ticari ve reklam hesaplarını çalma konusunda usta bir tarayıcı uzantısı yüklemektir.
Raporda, bu stratejik değişimin, Ducktail'in belirli profesyonel demografik özelliklerden yararlanmak için tasarlanmış saldırı tekniklerinde gelişen bir karmaşıklığa işaret ettiği belirtildi.
Ducktail Kötü Amaçlı Yazılım Bulaşma Rutininin İçinde
Kurban kötü amaçlı dosyayı açtığında, bir PowerShell betiğini (param.ps1) ve sahte bir PDF dosyasını cihazın genel dizinine kaydeder.
Varsayılan PDF görüntüleyici tarafından tetiklenen komut dosyası, sahte PDF'yi açar, duraklatır ve ardından Chrome tarayıcısını kapatır.
Eş zamanlı olarak saldırı, yanıltıcı tarayıcı uzantısı dosyalarını bir Google Chrome dizinine kaydediyor ve kendisini Google Dokümanlar Çevrimdışı uzantısı olarak gösteriyor. Kötü amaçlı yazılım, uzantıyı barındırma yolunu değiştirebilir.
Gizlenen çekirdek komut dosyası, açık tarayıcı sekmelerinin ayrıntılarını sürekli olarak bir komut ve kontrol (C2) sunucusuna gönderir.
Facebook ile ilgili URL'ler tespit edilirse uzantı, reklamları ve işletme hesaplarını çalmaya, çerezleri ve hesap ayrıntılarını çıkarmaya çalışır.
Uzantı, iki faktörlü kimlik doğrulamayı (2FA) atlamak için Facebook API isteklerini ve Vietnam'dan 2fa[.]canlı hizmetini kullanıyor. Çalınan kimlik bilgileri Vietnam merkezli bir C2'ye gönderilir.
Bu kampanyada, önceki saldırılardan kalma çekirdek komut dosyasının bozuk bir sürümü olan ek bir komut dosyası (jquery-3.3.1.min.js) uzantı klasörüne kaydedilir.
Tehdit aktörleri, programlama dili olarak Delphi'yi kullanarak alışılagelmiş .NET uygulama yaklaşımlarından farklı bir yaklaşım benimsediler.
Ördek Kuyruğu Siber Saldırılarına Karşı Nasıl Korunulur?
Ducktail kötü amaçlı yazılım kampanyasının Delphi programlama dilini kullanması, dilin alışılmadık imza tabanlı antivirüs korumalarının bu tehdidi gözden kaçırabilmesi nedeniyle güvenlik ekipleri için tespit zorlukları yaratıyor.
Menlo Security tehdit istihbaratı analisti Amelia Buck şöyle açıklıyor: "İzlemeyi geliştirmek için kuruluşlar, kötü niyetli aktiviteyi gösteren anormallikleri tespit etmek amacıyla daha fazla davranış tabanlı analitik ve buluşsal izleme kullanmalıdır."
Özellikle pazarlama ekiplerinin, kendilerini yanıltmayı amaçlayan özel saldırılar göz önüne alındığında, sosyal mühendisliği tespit edecek şekilde eğitilmesi gerektiğini söylüyor.
Buck, "Sosyal mühendislik taktikleri açısından, tanınmış moda markalarının ürünlerinin meşru görünen görüntü dosyaları, virüslü PDF'leri teslim etmeden önce güven oluşturuyor" diye belirtiyor.
Eğitimin personele, dışarıdan gönderenlerden gelen istenmeyen dosyalara karşı şüpheci olmalarını, makroları etkinleştirmekten kaçınmalarını ve beklenmedik ekleri açmadan önce dahili onay yoluyla doğrulamalarını tavsiye etmesi gerektiğine dikkat çekiyor.
"Alaka düzeyi aldatma konusunda inanılırlık oluşturduğundan, işle ilgili içerik söz konusu olduğunda bile dikkatli olunmalıdır" diye açıklıyor. "Çalışanlar ayrıca sitenin yasal olduğunu varsaymak yerine gönderen adreslerini sahtecilik açısından incelemelidir."
Tarayıcı uzantısı bileşeninin aynı zamanda korumaları da garanti ettiğini ekliyor ve tüm personelin sosyal medya ve hassas bilgiler içeren diğer hesaplar için çok faktörlü kimlik doğrulamayı etkinleştirmesini öneriyor.
“Ancak buna güvenilmemelidir” diye açıklıyor. "Ayrıca kimlik bilgilerini üçüncü taraf uzantılara girmekten kaçınmalı, onaylanmamış tarayıcı uzantısı yüklemelerine dikkat etmeli ve kişisel tarama için iş kimlik bilgilerini kullanmaktan kaçınmalıdırlar."
Bir parola yöneticisinin sağlanması, ele geçirilen hesaplarda parolanın yeniden kullanılmasına karşı hesap güvenliğini de güçlendirecektir.
Ördek Kuyruğu'nun Kalıcı Tehdidi
Ducktail en az Mayıs 2021'den beri aktiftir ve etkilenen kullanıcılar Amerika Birleşik Devletleri'nde ve üç düzineden fazla ülkede Facebook işletme hesaplarıyla.
Ducktail'in arkasındaki Vietnam merkezli mali siber suç operasyonu, saldırı stratejilerinde sürekli olarak uyarlanabilirlik sergiledi.
LinkedIn'i hedef odaklı kimlik avı hedefleri için bir yol olarak kullanmanın yanı sıra, önceki kampanyalar, Ducktail grubu artık kullanmaya başladı WhatsApp kullanıcıları hedef alacak.
Siber güvenlik araştırmacıları yakın zamanda ortaya çıkarılmış kötü şöhretli DarkGate uzaktan erişim Truva Atı (RAT) ile Ördek Kuyruğu arasındaki, yem dosyaları, hedefleme modelleri ve dağıtım yöntemleri gibi teknik olmayan işaretleyicilerden belirlenen bir bağlantı.
- SEO Destekli İçerik ve Halkla İlişkiler Dağıtımı. Bugün Gücünüzü Artırın.
- PlatoData.Network Dikey Üretken Yapay Zeka. Kendine güç ver. Buradan Erişin.
- PlatoAiStream. Web3 Zekası. Bilgi Genişletildi. Buradan Erişin.
- PlatoESG. karbon, temiz teknoloji, Enerji, Çevre, Güneş, Atık Yönetimi. Buradan Erişin.
- PlatoSağlık. Biyoteknoloji ve Klinik Araştırmalar Zekası. Buradan Erişin.
- Kaynak: https://www.darkreading.com/threat-intelligence/ducktail-malware-targets-fashion-industry
- :vardır
- :dır-dir
- :olumsuzluk
- :Neresi
- 1
- 2021
- 2FA
- 7
- a
- erişim
- Hesap
- Hesaplar
- karşısında
- aktif
- aktif
- etkinlik
- aktörler
- ilave
- Ek
- adresleri
- Ekler
- usta
- İlanlarım
- öğüt vermek
- karşı
- Türkiye
- yanında
- Ayrıca
- amelia
- an
- analist
- analytics
- ve
- anomaliler
- antivirüs
- api
- temyiz
- Uygulama
- yaklaşım
- arşiv
- ARE
- AS
- üstlenmek
- At
- saldırı
- saldırılar
- Denemeler
- Otantik
- Doğrulama
- Cadde
- önlemek
- merkezli
- BE
- olmuştur
- önce
- başladı
- arkasında
- arasında
- markalar
- tarayıcı
- Tarama
- inşa etmek
- güven oluşturmak
- inşa
- iş
- by
- Kampanya
- CAN
- Kariyer
- dikkat
- zorluklar
- değişiklikler
- krom
- krom tarayıcı
- Şirketler
- bileşen
- Uzlaşılmış
- onay
- bağ
- sürekli
- içerik
- kurabiye
- çekirdek
- bozuk
- ülkeler
- hazırlanmış
- oluşturur
- Tanıtım
- güvenilirlik
- Siber suç
- aldatma
- Varsayılan
- teslim
- teslim
- Demografi
- gösterdi
- detaylandırma
- ayrıntılar
- algılandı
- Bulma
- kararlı
- cihaz
- DID
- aşağı
- düzine
- gömülü
- çalışanların
- etkinleştirmek
- etkinleştirme
- Mühendislik
- girme
- Hatta
- gelişen
- infaz
- açıklar
- sömürmek
- uzatma
- uzantıları
- sahte
- Moda
- moda markaları
- fileto
- dosyalar
- mali
- İçin
- itibaren
- gerçek
- verilmiş
- Google Chrome
- grup
- Var
- hosting
- Ancak
- HTTPS
- belirlemek
- görüntü
- görüntüleri
- iyileştirmek
- in
- gösterir
- sanayi
- bilgi
- kurmak
- İstihbarat
- yönelik
- niyet
- iç
- içine
- IT
- ONUN
- kendisi
- İş
- jpg
- Kaspersky
- dil
- son
- en az
- yasal
- kaldıraç
- Muhtemelen
- makrolar
- kötü amaçlı yazılım
- müdür
- Pazarlama
- Mayıs..
- medya
- yöntemleri
- dk
- kaçırmak
- izleme
- Daha
- çok faktörlü kimlik doğrulama
- net
- yeni
- ünlü
- notlar
- adı çıkmış
- şimdi
- nesnel
- gizlenmiş
- of
- çevrimdışı
- açık
- açma
- açılır
- operasyon
- organizasyonlar
- Diğer
- dışarı
- dışında
- belirli
- Şifre
- parola yöneticisi
- yol
- desen
- kişisel
- Platon
- Plato Veri Zekası
- PlatoVeri
- noktaları
- PowerShell
- önceki
- Ürünler
- profesyonel
- profesyoneller
- Programlama
- korumak
- halka açık
- SIÇAN
- daha doğrusu
- tavsiye
- ilişkin
- ilgisi
- uzak
- uzaktan erişim
- rapor
- isteklerinizi
- Araştırmacılar
- yeniden
- s
- güvenceler
- kaydedilmiş
- diyor
- senaryo
- güvenlik
- arayan
- Satışa
- göndermek
- gönderici
- gönderir
- hassas
- gönderdi
- sunucu
- hizmet
- o
- çalışma
- meli
- kapatır
- beri
- yer
- şüpheci
- Sosyal Medya
- Sosyal mühendislik
- sosyal medya
- yapmacıklık
- özel
- Spot
- Personel
- Devletler
- çalıntı
- Stratejik
- stratejileri
- Güçlendiriyor
- böyle
- taktik
- ısmarlama
- alınan
- Hedef
- hedefleme
- hedefler
- takım
- teknikleri
- göre
- o
- The
- ve bazı Asya
- Onları
- sonra
- onlar
- üçüncü şahıslara ait
- Re-Tweet
- tehdit
- tehdit aktörleri
- üç
- İçinden
- için
- eğitilmiş
- Eğitim
- tetiklenir
- Truva
- Güven
- nadir
- Beklenmedik
- Birleşik
- USA
- Istenmemiş
- üzerine
- kullanım
- kullanım
- kullanma
- olağan
- doğrulamak
- versiyon
- Kurban
- Vietnam
- garanti
- İzle
- tanınmış
- hangi
- ile
- İş
- olur
- zefirnet