En spyd-phishing-kampagne kendt som "Ducktail" er på vej rundt på LinkedIn ved at målrette mod personer, der administrerer Facebook Business-konti. En infostealer bliver brugt i processen for at få adgang til information.
Specifikke individer bliver målrettet af den ondsindede skuespiller
I Andehalen spyd phishing kampagne, angribere er udelukkende rettet mod personer, der administrerer Facebook Business-konti, og har derfor fået visse tilladelser til en virksomheds annoncerings- og marketingværktøjer på Facebook. De, der på LinkedIn har vist sig at have roller inden for digital markedsføring, markedsføring på sociale medier, digital annoncering eller lignende, er primære mål for denne angriber.
Cybersikkerhedsfirmaet WithSecure rapporteret i en nylig publikation at Ducktail-malwaren er den første af sin slags og menes at være kontrolleret af en vietnamesisk operatør.
Det vides ikke præcist, hvor længe denne kampagne har stået på, men den har været bekræftet aktiv i mindst et år. Ducktail kan dog være blevet skabt og første gang brugt for så mange som fire år siden i skrivende stund.
Selvom LinkedIn-konti ikke er direkte målrettet i denne kampagne, bliver platformen brugt som et middel til at få adgang til mål. Den ondsindede aktør leder efter brugere med roller, der tyder på, at de har adgang på højt niveau til deres arbejdsgivers annonceringsværktøjer, inklusive deres Facebook Business-konto.
Derefter vil angriberen bruge social engineering til at overtale offeret til at downloade en arkivfil, der indeholder en eksekverbar malware samt nogle ekstra billeder og filer, som alle hostes af en række forskellige cloud storage-udbydere, såsom Dropbox og iCloud. Ducktail-malwaren er skrevet i .NET Core, en open source-softwareramme. Det betyder, at infostealer-malwaren kan køre på næsten enhver enhed, uanset hvilket operativsystem den bruger.
Ducktail-malwaren kan derefter scanne efter browsercookies for at finde de nødvendige loginoplysninger, der er nødvendige for at få adgang til en Facebook Business-konto kapring af sessionscookien. Ved at hacke en Facebook Business-konto kan følsomme oplysninger om virksomheden, dens kunder og annonceringsdynamik blive stjålet.
Økonomisk gevinst er det sandsynlige mål i Andehalekampagnen
WithSecure har udtalt i sit indlæg om Andehale at den ondsindede parts handlinger sandsynligvis er "økonomisk drevet". Når angriberen får fuld kontrol over den målrettede Facebook Business-konto, kan de redigere kreditkort og transaktionsoplysninger, og bruge virksomhedens betalingsmetoder til at køre deres egen annoncering kampagner. Dette kan være økonomisk skadeligt for virksomheden, men det kan tage et stykke tid at bemærke, hvilket giver den ondsindede aktør mere tid til at udnytte offeret.
Andehale kan akkumulere mange ofre i den nærmeste fremtid
Fordi Ducktail er en enestående type malware og retter sig mod et område, som mange enkeltpersoner ikke ville finde på at tjekke, kunne den bruges til succesfuldt at udnytte en lang liste af ofre over tid. Selvom det ikke vides, om angriberen med succes har infiltreret nogen Facebook Business-konti, består truslen stadig.
