En spjutfiskekampanj känd som "Ducktail" gör rundor på LinkedIn genom att rikta in sig på individer som hanterar Facebook Business-konton. En infostealer används i processen för att få tillgång till information.
Specifika individer riktas mot av den illvilliga skådespelaren
I Anksvansen riktade spam-attacker kampanj riktar sig angripare enbart mot individer som hanterar Facebook Business-konton och har därför beviljats vissa tillstånd till ett företags reklam- och marknadsföringsverktyg på Facebook. De som visas på LinkedIn för att ha roller inom digital marknadsföring, marknadsföring i sociala medier, digital reklam eller liknande, är främsta mål för denna angripare.
Cybersäkerhetsföretaget WithSecure rapporterade i en ny publikation att skadlig programvara Ducktail är den första i sitt slag och tros kontrolleras av en vietnamesisk operatör.
Det är inte känt exakt hur länge denna kampanj har pågått, men den har bekräftats aktiv i minst ett år. Ducktail kan dock ha skapats och först användes för så många som fyra år sedan i skrivande stund.
Även om LinkedIn-konton inte riktas direkt i denna kampanj, används plattformen som ett medel för att komma åt mål. Den illvilliga skådespelaren letar efter användare med roller som tyder på att de har tillgång på hög nivå till sin arbetsgivares reklamverktyg, inklusive deras Facebook Business-konto.
Sedan kommer angriparen att använda social ingenjörskonst för att övertala offret att ladda ner en arkivfil som innehåller en körbar skadlig programvara samt några ytterligare bilder och filer, som alla är värd för en mängd olika molnlagringsleverantörer, som Dropbox och iCloud. Ducktail skadlig programvara är skriven i .NET Core, ett ramverk för öppen källkod. Detta innebär att infostealer-skadlig programvara kan köras på nästan vilken enhet som helst, oavsett vilket operativsystem den använder.
Ducktail malware kan sedan söka efter webbläsarcookies för att hitta den nödvändiga inloggningsinformationen som behövs för att komma åt ett Facebook Business-konto genom kapa sessionskakan. Genom att hacka ett Facebook Business-konto kan känslig information om företaget, dess kunder och reklamdynamik stjälas.
Ekonomisk vinst är det troliga målet i Ducktail-kampanjen
WithSecure har angett i dess inlägg om Ducktail att den illvilliga partens handlingar sannolikt är "ekonomiskt drivna". När angriparen får full kontroll över det riktade Facebook Business-kontot kan de redigera kreditkort och transaktionsinformation, och använda företagets betalningsmetoder för att köra sin egen reklam kampanjer. Detta kan vara ekonomiskt skadligt för företaget men kan ta ett tag att märka, vilket ger den illvilliga skådespelaren mer tid att utnyttja offret.
Ducktail kan samla många offer inom en snar framtid
Eftersom Ducktail är en unik typ av skadlig programvara och riktar sig mot ett område som många individer inte skulle kunna tänka sig att kontrollera, kan den användas för att framgångsrikt utnyttja en lång lista av offer över tid. Även om det inte är känt om angriparen framgångsrikt har infiltrerat några Facebook Business-konton, kvarstår hotet fortfarande.