Eine Spear-Phishing-Kampagne namens „Ducktail“ macht auf LinkedIn die Runde, indem sie auf Personen abzielt, die Facebook-Geschäftskonten verwalten. Dabei wird ein Infostealer eingesetzt, um an Informationen zu gelangen.
Bestimmte Personen werden vom böswilligen Akteur angegriffen
Im Entenschwanz Speerfischen Kampagne zielen Angreifer ausschließlich auf Personen ab, die Facebook-Geschäftskonten verwalten, und Daher wurden bestimmte Berechtigungen für die Werbe- und Marketinginstrumente eines Unternehmens erteilt Facebook. Diejenigen, denen auf LinkedIn Rollen in den Bereichen digitales Marketing, Social-Media-Marketing, digitale Werbung oder ähnliches angezeigt werden, sind Hauptziele für diesen Angreifer.
Cybersicherheitsfirma WithSecure berichtet in einer kürzlich erschienenen Veröffentlichung dass die Ducktail-Malware die erste ihrer Art ist und vermutlich von einem vietnamesischen Betreiber kontrolliert wird.
Es ist nicht genau bekannt, wie lange diese Kampagne läuft, aber es wurde bestätigt, dass sie seit mindestens einem Jahr aktiv ist. Zum Zeitpunkt des Schreibens wurde Ducktail jedoch möglicherweise vor vier Jahren erstellt und erstmals verwendet.
Während LinkedIn-Konten in dieser Kampagne nicht direkt angesprochen werden, wird die Plattform als Vehikel für den Zugriff auf Ziele verwendet. Der böswillige Akteur sucht nach Benutzern mit Rollen, die darauf hindeuten, dass sie hochrangigen Zugriff auf die Werbetools ihres Arbeitgebers haben, einschließlich ihres Facebook-Geschäftskontos.
Anschließend verwendet der Angreifer Social Engineering, um das Opfer dazu zu bringen, eine Archivdatei herunterzuladen, die eine ausführbare Malware enthält sowie einige zusätzliche Bilder und Dateien, die alle von einer Vielzahl von Cloud-Speicheranbietern wie Dropbox und gehostet werden iCloud. Die Ducktail-Malware ist in .NET Core, einem Open-Source-Software-Framework, geschrieben. Das bedeutet, dass die Infostealer-Malware auf nahezu jedem Gerät laufen kann, unabhängig vom verwendeten Betriebssystem.
Die Ducktail-Malware kann dann nach Browser-Cookies suchen, um die erforderlichen Anmeldeinformationen zu finden, die für den Zugriff auf ein Facebook-Business-Konto erforderlich sind Entführung des Session-Cookies. Durch das Hacken eines Facebook-Geschäftskontos können vertrauliche Informationen über das Unternehmen, seine Kunden und die Werbedynamik gestohlen werden.
Finanzieller Gewinn ist das wahrscheinliche Ziel in der Ducktail-Kampagne
WithSecure hat in erklärt sein Post über Ducktail dass die Handlungen der böswilligen Partei wahrscheinlich "finanziell motiviert" sind. Wenn der Angreifer die volle Kontrolle über das angegriffene Facebook-Geschäftskonto erlangt, kann er die Kreditkarte bearbeiten und Transaktionsinformationen und verwenden die Zahlungsmethoden des Unternehmens, um ihre eigene Werbung zu schalten Kampagnen. Dies kann dem Unternehmen finanziell schaden, es kann jedoch eine Weile dauern, bis es bemerkt wird, was dem böswilligen Akteur mehr Zeit gibt, das Opfer auszunutzen.
Ducktail kann in naher Zukunft viele Opfer anhäufen
Da Ducktail eine einzigartige Art von Malware ist und auf einen Bereich abzielt, den viele Personen nicht zu überprüfen wagen, könnte es verwendet werden, um im Laufe der Zeit eine lange Liste von Opfern erfolgreich auszunutzen. Obwohl nicht bekannt ist, ob der Angreifer erfolgreich Facebook Business-Konten infiltriert hat, bleibt die Bedrohung bestehen.
