En spyd-phishing-kampanje kjent som "Ducktail" gjør rundene på LinkedIn ved å målrette mot enkeltpersoner som administrerer Facebook Business-kontoer. En infostealer brukes i prosessen for å få tilgang til informasjon.

Spesifikke individer blir målrettet av den ondsinnede skuespilleren

I Andehalen spyd phishing kampanjen, er angripere utelukkende rettet mot personer som administrerer Facebook Business-kontoer, og har derfor fått visse tillatelser til et selskaps annonserings- og markedsføringsverktøy på Facebook. De som vises på LinkedIn for å ha roller innen digital markedsføring, markedsføring i sosiale medier, digital annonsering eller lignende, er hovedmål for denne angriperen.

Cybersikkerhetsfirma WithSecure rapportert i en fersk publikasjon at Ducktail malware er den første i sitt slag, og antas å være kontrollert av en vietnamesisk operatør.

Det er ikke kjent nøyaktig hvor lenge denne kampanjen har pågått, men den har vært bekreftet aktiv i minst ett år. Ducktail kan imidlertid ha blitt opprettet og først brukt for så mange som fire år siden i skrivende stund.

Selv om LinkedIn-kontoer ikke er direkte målrettet i denne kampanjen, brukes plattformen som et redskap for å få tilgang til mål. Den ondsinnede skuespilleren ser etter brukere med roller som tyder på at de har tilgang på høyt nivå til arbeidsgiverens annonseringsverktøy, inkludert Facebook Business-kontoen deres.

Deretter vil angriperen bruke sosial teknikk for å overtale offeret til å laste ned en arkivfil som inneholder en kjørbar skadevare. samt noen ekstra bilder og filer, som alle er vert for en rekke skylagringsleverandører, som Dropbox og iCloud. Ducktail malware er skrevet i .NET Core, en åpen kildekode programvareramme. Dette betyr at infostealer-malware kan kjøre på nesten alle enheter, uavhengig av hvilket operativsystem den bruker.

Ducktail malware kan deretter skanne etter nettleserinformasjonskapsler for å finne den nødvendige påloggingsinformasjonen som trengs for å få tilgang til en Facebook Business-konto kapring av øktinformasjonskapselen. Ved å hacke en Facebook Business-konto kan sensitiv informasjon om selskapet, dets klienter og reklamedynamikk bli stjålet.

Økonomisk gevinst er det sannsynlige målet i Ducktail-kampanjen

WithSecure har uttalt i sitt innlegg om Ducktail at den ondsinnede parts handlinger sannsynligvis er "økonomisk drevet". Når angriperen får full kontroll over den målrettede Facebook Business-kontoen, kan de redigere kredittkortet og transaksjonsinformasjon, og bruke selskapets betalingsmetoder til å kjøre sin egen annonsering kampanjer. Dette kan være økonomisk skadelig for selskapet, men det kan ta en stund å legge merke til dette, noe som gir den ondsinnede aktøren mer tid til å utnytte offeret.

Andehale kan akkumulere mange ofre i nær fremtid

Fordi Ducktail er en unik type skadelig programvare og retter seg mot et område som mange enkeltpersoner ikke ville tenkt å sjekke, kan den brukes til å lykkes med å utnytte en lang liste av ofre over tid. Selv om det ikke er kjent om angriperen har infiltrert noen Facebook Business-kontoer, består trusselen fortsatt.