Кампания за фишинг, известна като „Патешка опашка“, обикаля LinkedIn, като се насочва към лица, които управляват акаунти във Facebook Business. В процеса се използва крадец на информация за достъп до информация.
Конкретни лица са насочени от злонамерения актьор
В Патешката опашка фишинг кампания, нападателите се насочват единствено към лица, които управляват акаунти във Facebook Business, и следователно са получили определени разрешения за рекламни и маркетингови инструменти на компанията Facebook. Тези, които са показани в LinkedIn, че имат роли в дигиталния маркетинг, маркетинга в социалните медии, дигиталната реклама или други подобни, са основни цели за този нападател.
Фирма за киберсигурност WithSecure съобщава в скорошна публикация че зловреден софтуер Ducktail е първият по рода си и се смята, че се контролира от виетнамски оператор.
Не е известно точно колко време продължава тази кампания, но е потвърдено, че е активна от поне една година. Въпреки това Ducktail може да е създаден и използван за първи път преди четири години по време на писането.
Докато акаунтите в LinkedIn не са директно насочени в тази кампания, платформата се използва като средство за достъп до цели. Злонамереният актьор търси потребители с роли, които предполагат, че имат достъп на високо ниво до рекламните инструменти на своя работодател, включително техния акаунт във Facebook Business.
След това нападателят ще използва социално инженерство, за да убеди жертвата да изтегли архивен файл, който съдържа изпълним зловреден софтуер както и някои допълнителни изображения и файлове, всички от които се хостват от различни доставчици на облачно съхранение, като Dropbox и iCloud. Зловредният софтуер Ducktail е написан на .NET Core, софтуерна рамка с отворен код. Това означава, че зловредният софтуер infostealer може да работи на почти всяко устройство, независимо от операционната система, която използва.
След това зловредният софтуер Ducktail може да сканира за бисквитки на браузъра, за да намери необходимата информация за вход, необходима за достъп до акаунт във Facebook Business чрез отвличане на сесийната бисквитка. Чрез хакване на акаунт във Facebook Business може да бъде открадната чувствителна информация за компанията, нейните клиенти и рекламната динамика.
Финансовата печалба е вероятната цел в кампанията Ducktail
WithSecure заяви в публикацията му за Ducktail че действията на злонамерената страна вероятно са „финансово водени“. Когато нападателят получи пълен контрол върху целевия акаунт във Facebook Business, той може да редактира кредитна карта и информация за транзакции и да използват методите на плащане на компанията, за да пуснат собствена реклама кампании. Това може да бъде финансово вредно за компанията, но може да отнеме известно време, за да се забележи, което дава на злонамерения актьор повече време да експлоатира жертвата.
Ducktail може да натрупа много жертви в близко бъдеще
Тъй като Ducktail е единствен по рода си вид зловреден софтуер и е насочен към област, която много хора не биха се сетили да проверят, той може да се използва за успешно използване на дълъг списък от жертви с течение на времето. Въпреки че не е известно дали нападателят е проникнал успешно във Facebook Business акаунти, заплахата все още остава.
