Ducktail đang nhắm mục tiêu vào các chuyên gia tiếp thị trong ngành thời trang với chiến dịch mới nhất, trong đó các tác nhân đe dọa gửi các kho lưu trữ chứa hình ảnh của các sản phẩm đích thực từ các công ty nổi tiếng cùng với một tệp thực thi độc hại được ngụy trang dưới dạng tệp PDF.
Theo một báo cáo từ Kaspersky, khi thực thi, phần mềm độc hại sẽ mở một tệp PDF nhúng chính hãng, nêu chi tiết thông tin công việc, với cuộc tấn công được thực hiện để thu hút các chuyên gia tiếp thị đang tích cực tìm kiếm sự thay đổi nghề nghiệp.
Mục tiêu của phần mềm độc hại là cài đặt một tiện ích mở rộng trình duyệt có khả năng đánh cắp các tài khoản quảng cáo và kinh doanh trên Facebook, với mục đích bán thông tin đăng nhập bị đánh cắp.
Báo cáo lưu ý rằng sự thay đổi chiến lược này cho thấy sự tinh vi ngày càng tăng trong các kỹ thuật tấn công của Ducktail, được thiết kế để khai thác nhân khẩu học chuyên nghiệp cụ thể.
Bên trong quy trình lây nhiễm phần mềm độc hại Ducktail
Khi nạn nhân mở tệp độc hại, nó sẽ lưu tập lệnh PowerShell (param.ps1) và tệp PDF giả vào thư mục chung của thiết bị.
Tập lệnh, được kích hoạt bởi trình xem PDF mặc định, mở tệp PDF giả mạo, tạm dừng rồi tắt trình duyệt Chrome.
Đồng thời, cuộc tấn công lưu các tệp tiện ích mở rộng lừa đảo của trình duyệt vào thư mục Google Chrome, ngụy trang dưới dạng tiện ích mở rộng Google Docs ngoại tuyến. Phần mềm độc hại có thể thay đổi đường dẫn lưu trữ tiện ích mở rộng.
Tập lệnh lõi bị che khuất liên tục gửi thông tin chi tiết về các tab trình duyệt đang mở đến máy chủ ra lệnh và kiểm soát (C2).
Nếu phát hiện các URL liên quan đến Facebook, tiện ích mở rộng sẽ cố gắng đánh cắp quảng cáo và tài khoản doanh nghiệp, trích xuất cookie và chi tiết tài khoản.
Để vượt qua xác thực hai yếu tố (2FA), tiện ích mở rộng sử dụng các yêu cầu API của Facebook và dịch vụ trực tiếp 2fa[.]từ Việt Nam. Thông tin đăng nhập bị đánh cắp được gửi đến C2 có trụ sở tại Việt Nam.
Trong chiến dịch này, một tập lệnh bổ sung (jquery-3.3.1.min.js) được lưu vào thư mục tiện ích mở rộng, đây là phiên bản bị hỏng của tập lệnh cốt lõi từ các cuộc tấn công trước đó.
Các tác nhân đe dọa đã thực hiện một cách tiếp cận mới bằng cách tận dụng Delphi làm ngôn ngữ lập trình, khác với cách tiếp cận ứng dụng .NET thông thường của chúng.
Cách bảo vệ chống lại các cuộc tấn công mạng Ducktail
Việc sử dụng ngôn ngữ lập trình Delphi của chiến dịch phần mềm độc hại Ducktail tạo ra thách thức phát hiện cho các nhóm bảo mật, vì các biện pháp bảo vệ chống vi-rút dựa trên chữ ký không phổ biến của ngôn ngữ này có thể bỏ sót mối đe dọa này.
Amelia Buck, nhà phân tích tình báo mối đe dọa tại Menlo Security, giải thích: “Để cải thiện khả năng giám sát, các tổ chức nên sử dụng nhiều phân tích dựa trên hành vi và giám sát heuristic hơn để xác định những điểm bất thường cho thấy hoạt động độc hại”.
Cô nói rằng các nhóm tiếp thị nói riêng nên được đào tạo để phát hiện kỹ thuật tấn công xã hội, đưa ra các cuộc tấn công phù hợp nhằm đánh lừa họ.
Buck lưu ý: “Về các chiến thuật lừa đảo qua mạng xã hội, các tệp hình ảnh trông có vẻ hợp pháp của các sản phẩm từ các thương hiệu thời trang nổi tiếng sẽ tạo dựng niềm tin trước khi phân phối các tệp PDF bị nhiễm”.
Cô chỉ ra rằng quá trình đào tạo nên khuyên nhân viên thận trọng với các tệp không mong muốn từ người gửi bên ngoài, tránh bật macro và xác minh các tệp đính kèm không mong muốn thông qua xác nhận nội bộ trước khi mở.
Cô giải thích: “Nên thận trọng ngay cả với nội dung liên quan đến công việc, vì sự liên quan sẽ tạo nên uy tín cho hành vi lừa dối”. “Nhân viên cũng nên kiểm tra địa chỉ người gửi để phát hiện giả mạo thay vì cho rằng trang web này là hợp pháp.”
Cô nói thêm rằng thành phần tiện ích mở rộng của trình duyệt cũng đảm bảo các biện pháp bảo vệ, khuyến nghị tất cả nhân viên nên kích hoạt xác thực đa yếu tố cho phương tiện truyền thông xã hội và các tài khoản khác có chứa thông tin nhạy cảm.
Cô giải thích: “Tuy nhiên, điều này không nên dựa vào. “Họ cũng nên hạn chế nhập thông tin xác thực vào tiện ích mở rộng của bên thứ ba, theo dõi các lượt cài đặt tiện ích mở rộng trình duyệt không được phê duyệt và tránh sử dụng thông tin xác thực công việc để duyệt cá nhân.”
Việc cung cấp trình quản lý mật khẩu cũng sẽ tăng cường bảo mật tài khoản khỏi việc sử dụng lại mật khẩu trên các tài khoản bị xâm phạm.
Mối đe dọa dai dẳng của Ducktail
Ducktail đã hoạt động ít nhất từ tháng 2021 năm XNUMX và đã người dùng bị ảnh hưởng với tài khoản doanh nghiệp Facebook tại Hoa Kỳ và hơn ba chục quốc gia khác.
Hoạt động tội phạm mạng tài chính có trụ sở tại Việt Nam đằng sau Ducktail đã liên tục thể hiện khả năng thích ứng trong các chiến lược tấn công của mình.
Ngoài việc sử dụng LinkedIn như một con đường cho các mục tiêu lừa đảo trực tuyến, như nó đã làm trong các chiến dịch trước, nhóm Ducktail hiện đã bắt đầu sử dụng WhatsApp nhắm mục tiêu người dùng.
Các nhà nghiên cứu an ninh mạng gần đây mới phát hiện ra một kết nối giữa Trojan truy cập từ xa DarkGate khét tiếng (RAT) và Ducktail, được xác định từ các điểm đánh dấu phi kỹ thuật như tệp thu hút, mẫu nhắm mục tiêu và phương thức phân phối.
- Phân phối nội dung và PR được hỗ trợ bởi SEO. Được khuếch đại ngay hôm nay.
- PlatoData.Network Vertical Generative Ai. Trao quyền cho chính mình. Truy cập Tại đây.
- PlatoAiStream. Thông minh Web3. Kiến thức khuếch đại. Truy cập Tại đây.
- Trung tâmESG. Than đá, công nghệ sạch, Năng lượng, Môi trường Hệ mặt trời, Quản lý chất thải. Truy cập Tại đây.
- PlatoSức khỏe. Tình báo thử nghiệm lâm sàng và công nghệ sinh học. Truy cập Tại đây.
- nguồn: https://www.darkreading.com/threat-intelligence/ducktail-malware-targets-fashion-industry
- : có
- :là
- :không phải
- :Ở đâu
- 1
- 2021
- 2FA
- 7
- a
- truy cập
- Tài khoản
- Trợ Lý Giám Đốc
- ngang qua
- hoạt động
- tích cực
- hoạt động
- diễn viên
- Ngoài ra
- thêm vào
- địa chỉ
- Thêm
- lão luyện
- quảng cáo
- tư vấn cho
- chống lại
- Tất cả
- bên cạnh
- Ngoài ra
- amelia
- an
- phân tích
- phân tích
- và
- bất thường
- antivirus
- api
- kháng cáo
- Các Ứng Dụng
- phương pháp tiếp cận
- tài liệu lưu trữ
- LÀ
- AS
- đảm đương
- At
- tấn công
- Các cuộc tấn công
- Nỗ lực
- Authentic
- Xác thực
- Avenue
- tránh
- dựa
- BE
- được
- trước
- đã bắt đầu
- sau
- giữa
- thương hiệu
- trình duyệt
- Duyệt
- xây dựng
- xây dựng lòng tin
- xây dựng
- kinh doanh
- by
- Chiến dịch
- CAN
- Tuyển Dụng
- thận trọng
- thách thức
- Những thay đổi
- cơ rôm
- trình duyệt chrome
- Các công ty
- thành phần
- Thỏa hiệp
- xác nhận
- liên quan
- nhất quán
- nội dung
- bánh quy
- Trung tâm
- bị hỏng
- nước
- chế tạo
- tạo ra
- Credentials
- tin tưởng
- tội phạm mạng
- lừa dối
- Mặc định
- phân phối
- giao hàng
- Nhân khẩu học
- chứng minh
- Chi tiết
- chi tiết
- phát hiện
- Phát hiện
- xác định
- thiết bị
- ĐÃ LÀM
- xuống
- hàng chục
- nhúng
- nhân viên
- cho phép
- cho phép
- Kỹ Sư
- vào
- Ngay cả
- phát triển
- thực hiện
- Giải thích
- Khai thác
- mở rộng
- mở rộng
- giả mạo
- Thời trang
- nhãn hiệu thời trang
- Tập tin
- Các tập tin
- tài chính
- Trong
- từ
- chính hãng
- được
- Google Chrome
- Nhóm
- Có
- lưu trữ
- Tuy nhiên
- HTTPS
- xác định
- hình ảnh
- hình ảnh
- nâng cao
- in
- chỉ
- ngành công nghiệp
- thông tin
- cài đặt, dựng lên
- Sự thông minh
- dự định
- ý định
- nội bộ
- trong
- IT
- ITS
- chính nó
- Việc làm
- jpg
- Kaspersky
- Ngôn ngữ
- mới nhất
- ít nhất
- Legit
- tận dụng
- Có khả năng
- macro
- phần mềm độc hại
- giám đốc
- Marketing
- Có thể..
- Phương tiện truyền thông
- phương pháp
- phút
- bỏ lỡ
- giám sát
- chi tiết
- xác thực đa yếu tố
- net
- Mới
- lưu ý
- Chú ý
- khét tiếng
- tại
- Mục tiêu
- bị che khuất
- of
- Ngoại tuyến
- mở
- mở
- mở ra
- hoạt động
- tổ chức
- Nền tảng khác
- ra
- bên ngoài
- riêng
- Mật khẩu
- quản lý mật khẩu
- con đường
- mô hình
- riêng
- plato
- Thông tin dữ liệu Plato
- PlatoDữ liệu
- điểm
- PowerShell
- trước
- Sản phẩm
- chuyên nghiệp
- chuyên gia
- Lập trình
- bảo vệ
- công khai
- CON CHUỘT
- hơn
- đề nghị
- về
- sự liên quan
- xa
- truy cập từ xa
- báo cáo
- yêu cầu
- nhà nghiên cứu
- tái sử dụng
- s
- biện pháp bảo vệ
- lưu
- nói
- kịch bản
- an ninh
- tìm kiếm
- Bán
- gửi
- người gửi
- gửi
- nhạy cảm
- gởi
- máy chủ
- dịch vụ
- chị ấy
- thay đổi
- nên
- Tắt
- kể từ khi
- website
- hoài nghi
- Mạng xã hội
- Kỹ thuật xã hội
- truyền thông xã hội
- sự tinh tế
- riêng
- Spot
- Nhân sự
- Bang
- ăn cắp
- Chiến lược
- chiến lược
- Tăng cường
- như vậy
- chiến thuật
- phù hợp
- Lấy
- Mục tiêu
- nhắm mục tiêu
- mục tiêu
- đội
- kỹ thuật
- hơn
- việc này
- Sản phẩm
- cung cấp their dịch
- Them
- sau đó
- họ
- của bên thứ ba
- điều này
- mối đe dọa
- diễn viên đe dọa
- số ba
- Thông qua
- đến
- đào tạo
- Hội thảo
- được kích hoạt
- Trojan
- NIỀM TIN
- Không phổ biến
- Bất ngờ
- Kỳ
- Hoa Kỳ
- không được yêu cầu
- trên
- sử dụng
- sử dụng
- sử dụng
- bình thường
- xác minh
- phiên bản
- nạn nhân
- Việt Nam
- Chứng quyền
- Đồng hồ đeo tay
- nổi tiếng
- cái nào
- với
- Công việc
- sẽ
- zephyrnet