Sukčiavimo kampanija, žinoma kaip „Ducktail“, „LinkedIn“ žengia į priekį, nukreipdama į asmenis, valdančius „Facebook Business“ paskyras. Šiame procese informacijai pasiekti naudojamas infostealer.
Piktybinis veikėjas taikosi į konkrečius asmenis
Ducktail ietis sukčiavimas kampanijoje, užpuolikai taikosi tik į asmenis, kurie valdo „Facebook Business“ paskyras ir todėl buvo suteikti tam tikri leidimai įmonės reklamos ir rinkodaros priemonėms Facebook. Tie, kurie „LinkedIn“ rodo, kad atlieka skaitmeninės rinkodaros, socialinės žiniasklaidos rinkodaros, skaitmeninės reklamos ar panašius vaidmenis, yra pagrindiniai šio užpuoliko taikiniai.
Kibernetinio saugumo įmonė WithSecure pranešta neseniai paskelbtame leidinyje kad „Ducktail“ kenkėjiška programa yra pirmoji tokio pobūdžio ir manoma, kad ją valdo Vietnamo operatorius.
Tiksliai nežinoma, kiek laiko ši akcija tęsiasi, tačiau patvirtinta, kad ji veikia mažiausiai vienerius metus. Tačiau „Ducktail“ galėjo būti sukurtas ir pirmą kartą panaudotas net prieš ketverius metus rašant.
Nors „LinkedIn“ paskyros nėra tiesiogiai taikomos šioje kampanijoje, platforma naudojama kaip priemonė pasiekti taikinius. Piktybiškas veikėjas ieško vartotojų, kurių vaidmenys rodo, kad jie turi aukšto lygio prieigą prie darbdavio reklamavimo įrankių, įskaitant „Facebook Business“ paskyrą.
Tada užpuolikas naudos socialinę inžineriją, kad įtikintų auką atsisiųsti archyvo failą, kuriame yra kenkėjiškos programos vykdomasis failas. taip pat kai kurie papildomi vaizdai ir failai, kuriuos visus priglobia įvairūs debesies saugyklos teikėjai, pvz., „Dropbox“ ir iCloud. Kenkėjiška programa „Ducktail“ parašyta .NET Core, atvirojo kodo programinės įrangos sistemoje. Tai reiškia, kad „infostealer“ kenkėjiška programa gali veikti beveik bet kuriame įrenginyje, neatsižvelgiant į tai, kokią operacinę sistemą ji naudoja.
Tada kenkėjiška programa „Ducktail“ gali nuskaityti naršyklės slapukus, kad surastų reikiamą prisijungimo informaciją, reikalingą norint pasiekti „Facebook Business“ paskyrą seanso slapuko užgrobimas. Įsilaužus į Facebook Business paskyrą, gali būti pavogta jautri informacija apie įmonę, jos klientus ir reklamos dinamiką.
Finansinė nauda yra tikėtinas „Ducktail“ kampanijos tikslas
WithSecure nurodė jos įrašas apie Ducktail kad piktavališkos šalies veiksmai greičiausiai yra „finansiniai“. Kai užpuolikas visiškai kontroliuoja tikslinę „Facebook Business“ paskyrą, jis gali redaguoti kredito kortelę ir operacijų informaciją bei naudoti įmonės mokėjimo būdus savo reklamai vykdyti kampanijos. Tai gali pakenkti įmonei finansiškai, tačiau tai gali šiek tiek užtrukti, kol piktavalis veikėjas turi daugiau laiko išnaudoti auką.
„Ducktail“ netolimoje ateityje gali pritraukti daug aukų
Kadangi „Ducktail“ yra unikali kenkėjiškų programų rūšis ir nukreipta į sritį, kurios daugelis žmonių negalvotų tikrinti, ją būtų galima panaudoti norint sėkmingai išnaudoti ilgą aukų sąrašą laikui bėgant. Nors nežinoma, ar užpuolikas sėkmingai įsiskverbė į „Facebook Business“ paskyras, grėsmė vis tiek išlieka.