Кампания целевого фишинга, известная как «Утиный хвост», проходит через LinkedIn, ориентируясь на людей, которые управляют учетными записями Facebook Business. Infostealer используется в процессе для доступа к информации.

Злоумышленник нацелен на конкретных лиц

В утином хвосте целевой фишинг кампании, злоумышленники нацелены исключительно на лиц, которые управляют учетными записями Facebook Business, и поэтому получили определенные разрешения на рекламные и маркетинговые инструменты компании на Фейсбук. Те, кто показан в LinkedIn как занимающийся цифровым маркетингом, маркетингом в социальных сетях, цифровой рекламой или подобным, являются основными целями для этого злоумышленника.

Фирма по кибербезопасности WithSecure сообщается в недавней публикации что вредоносное ПО Ducktail является первым в своем роде и, как считается, контролируется вьетнамским оператором.

Точно неизвестно, как долго продолжается эта кампания, но подтверждено, что она активна уже как минимум год. Тем не менее, Ducktail, возможно, был создан и впервые использован четыре года назад на момент написания статьи.

Хотя учетные записи LinkedIn не являются прямым таргетингом в этой кампании, платформа используется в качестве средства доступа к целевым объектам. Злоумышленник ищет пользователей с ролями, которые предполагают, что у них есть доступ высокого уровня к рекламным инструментам своего работодателя, включая их учетную запись Facebook Business.

Затем злоумышленник будет использовать социальную инженерию, чтобы убедить жертву загрузить архивный файл, содержащий исполняемый файл вредоносного ПО. а также некоторые дополнительные изображения и файлы, все из которых размещены различными поставщиками облачных хранилищ, такими как Dropbox и iCloud. Вредоносное ПО Ducktail написано в .NET Core, программной среде с открытым исходным кодом. Это означает, что вредоносная программа infostealer может работать практически на любом устройстве, независимо от используемой операционной системы.

Затем вредоносное ПО Ducktail может сканировать файлы cookie браузера, чтобы найти необходимую информацию для входа в учетную запись Facebook Business. перехват файла cookie сеанса. Взломав учетную запись Facebook Business, можно украсть конфиденциальную информацию о компании, ее клиентах и ​​динамике рекламы.

Финансовая выгода — вероятная цель кампании «Утиный хвост»

WithSecure заявил в его пост о Ducktail что действия злоумышленника, вероятно, «финансовые». Когда злоумышленник получает полный контроль над целевой учетной записью Facebook Business, он может редактировать данные кредитной карты. и информацию о транзакциях, а также использовать способы оплаты компании для запуска собственной рекламы. кампании. Это может нанести финансовый ущерб компании, но может занять некоторое время, чтобы заметить это, что дает злоумышленнику больше времени для использования жертвы.

Утиный хвост может принести много жертв в ближайшем будущем

Поскольку Ducktail — это единственный в своем роде тип вредоносного ПО, нацеленный на область, которую многие люди и не подумали бы проверять, с течением времени его можно использовать для успешного использования длинного списка жертв. Хотя неизвестно, удалось ли злоумышленнику проникнуть в какие-либо учетные записи Facebook Business, угроза все еще остается.