Una campagna di spear-phishing nota come "Ducktail" sta facendo il giro di LinkedIn prendendo di mira le persone che gestiscono account Facebook Business. Un infostealer viene utilizzato nel processo per accedere alle informazioni.
Individui specifici vengono presi di mira dall'attore dannoso
Nel Codino spear phishing campagna, gli aggressori prendono di mira esclusivamente le persone che gestiscono gli account Facebook Business e pertanto sono state concesse determinate autorizzazioni agli strumenti pubblicitari e di marketing di un'azienda Facebook. Coloro che vengono mostrati su LinkedIn per avere ruoli nel marketing digitale, social media marketing, pubblicità digitale o simili, sono i bersagli principali per questo attaccante.
Società di sicurezza informatica WithSecure riportato in una recente pubblicazione che il malware Ducktail è il primo del suo genere e si pensa che sia controllato da un operatore vietnamita.
Non si sa esattamente da quanto tempo questa campagna sia andata avanti, ma è stata confermata attiva da almeno un anno. Tuttavia, Ducktail potrebbe essere stato creato e utilizzato per la prima volta fino a quattro anni fa al momento della scrittura.
Sebbene gli account LinkedIn non vengano presi di mira direttamente in questa campagna, la piattaforma viene utilizzata come veicolo per accedere agli obiettivi. L'attore malintenzionato cerca utenti con ruoli che suggeriscono che hanno un accesso di alto livello agli strumenti pubblicitari del loro datore di lavoro, incluso il loro account Facebook Business.
Quindi, l'attaccante utilizzerà l'ingegneria sociale per convincere la vittima a scaricare un file di archivio che contiene un eseguibile malware oltre ad alcune immagini e file aggiuntivi, tutti ospitati da una varietà di provider di archiviazione cloud, come Dropbox e iCloud. Il malware Ducktail è scritto in .NET Core, un framework software open source. Ciò significa che il malware Infostealer può essere eseguito su quasi tutti i dispositivi, indipendentemente dal sistema operativo utilizzato.
Il malware Ducktail può quindi eseguire la scansione dei cookie del browser per trovare le informazioni di accesso richieste necessarie per accedere a un account Facebook Business dirottare il cookie di sessione. Violando un account Facebook Business, è possibile rubare informazioni sensibili sull'azienda, i suoi clienti e le dinamiche pubblicitarie.
Il guadagno finanziario è l'obiettivo probabile nella campagna di Ducktail
WithSecure ha dichiarato in il suo post su Ducktail che le azioni della parte malintenzionata sono probabilmente "guidate finanziariamente". Quando l'attaccante ottiene il pieno controllo dell'account Facebook Business preso di mira, può modificare la carta di credito e informazioni transazionali e utilizzare i metodi di pagamento dell'azienda per eseguire la propria pubblicità campagne. Questo può essere finanziariamente dannoso per l'azienda, ma può richiedere del tempo per notarlo, il che dà all'attore malintenzionato più tempo per sfruttare la vittima.
Ducktail potrebbe accumulare molte vittime nel prossimo futuro
Poiché Ducktail è un tipo di malware unico nel suo genere e prende di mira un'area che molte persone non penserebbero di controllare, potrebbe essere utilizzato per sfruttare con successo un lungo elenco di vittime nel tempo. Sebbene non sia noto se l'attaccante si sia infiltrato con successo in qualsiasi account Facebook Business, la minaccia rimane comunque.
