Een spear-phishing-campagne die bekend staat als "Ducktail" doet de ronde op LinkedIn door zich te richten op personen die Facebook Business-accounts beheren. In het proces wordt een infostealer gebruikt om toegang te krijgen tot informatie.
Specifieke personen worden het doelwit van de kwaadaardige acteur
In de Ducktail speervissen campagne richten aanvallers zich uitsluitend op personen die Facebook Business-accounts beheren, en hebben daarom bepaalde machtigingen gekregen voor de advertentie- en marketingtools van een bedrijf op Facebook. Degenen die op LinkedIn worden getoond met rollen in digitale marketing, social media marketing, digitale advertenties of iets dergelijks, zijn de belangrijkste doelwitten voor deze aanvaller.
Cyberbeveiligingsbedrijf WithSecure gerapporteerd in een recente publicatie dat de Ducktail-malware de eerste in zijn soort is en wordt verondersteld te worden beheerd door een Vietnamese operator.
Het is niet precies bekend hoe lang deze campagne al loopt, maar het is bevestigd dat deze al minstens een jaar actief is. Ducktail is echter mogelijk vier jaar geleden gemaakt en voor het eerst gebruikt op het moment van schrijven.
Hoewel LinkedIn-accounts niet direct worden getarget in deze campagne, wordt het platform gebruikt als een voertuig om toegang te krijgen tot doelen. De kwaadwillende acteur zoekt naar gebruikers met rollen die suggereren dat ze toegang op hoog niveau hebben tot de advertentietools van hun werkgever, inclusief hun Facebook Business-account.
Vervolgens zal de aanvaller social engineering gebruiken om het slachtoffer over te halen een archiefbestand te downloaden dat een uitvoerbaar malwarebestand bevat evenals enkele extra afbeeldingen en bestanden, die allemaal worden gehost door verschillende cloudopslagproviders, zoals Dropbox en iCloud. De Ducktail-malware is geschreven in .NET Core, een open-source softwareframework. Dit betekent dat de infostealer-malware op bijna elk apparaat kan draaien, ongeacht het besturingssysteem dat het gebruikt.
De Ducktail-malware kan vervolgens scannen op browsercookies om de vereiste inloggegevens te vinden die nodig zijn om toegang te krijgen tot een Facebook Business-account door: het kapen van de sessiecookie. Door een Facebook Business-account te hacken, kan gevoelige informatie over het bedrijf, zijn klanten en advertentiedynamiek worden gestolen.
Financieel gewin is het waarschijnlijke doel in de Ducktail-campagne
WithSecure heeft verklaard in: zijn bericht over Ducktail dat de acties van de kwaadwillende waarschijnlijk "financieel gedreven" zijn. Wanneer de aanvaller de volledige controle krijgt over het beoogde Facebook Business-account, kan hij de creditcard bewerken en transactie-informatie, en de betaalmethoden van het bedrijf gebruiken om hun eigen advertenties te plaatsen campagnes. Dit kan financieel schadelijk zijn voor het bedrijf, maar het kan even duren voordat dit wordt opgemerkt, waardoor de kwaadwillende actor meer tijd heeft om het slachtoffer uit te buiten.
Ducktail kan in de nabije toekomst veel slachtoffers maken
Omdat Ducktail een uniek type malware is en zich richt op een gebied dat veel mensen niet zouden denken te controleren, zou het kunnen worden gebruikt om in de loop van de tijd met succes een lange lijst met slachtoffers uit te buiten. Hoewel het niet bekend is of de aanvaller met succes Facebook Business-accounts heeft geïnfiltreerd, blijft de dreiging bestaan.
