W ciągu ostatniego pół roku nastąpił nagły wzrost aktywności złośliwego oprogramowania DUCKTAIL, którego celem są konta biznesowe przeznaczone do działań marketingowych i PR-owych – wynika z raportu WithSecure. Poza kontami Facebook Business zagrożone są profile na platformie X (dawniej Twitter). Za atakami stoją cyberprzestępcy z Wietnamu. Pojawiła się również dodatkowa odnoga złośliwego oprogramowania – DUCKPORT. Działalność phishingowa odbywa się za pośrednictwem LinkedIn lub WhatsAppa, a cyberprzestępcy korzystają z
legalnego narzędzia Rebrandly do uwierzytelniania i skracania adresu URL przygotowanych przez siebie fałszywych stron.
Fałszywe propozycje
DUCKTAIL to infostealer malware, czyli złośliwe oprogramowanie stworzone do wykradania cookies przeglądarki i wykorzystywania uwierzytelnionych sesji Facebooka w celu pobrania informacji z konta ofiary. Ostatecznie przejmowane są wszystkie konta Facebook Business, do których ma dostęp zaatakowana osoba. Hakerzy wykorzystują tematy związane z cyfrowym marketingiem, dotyczące np. ChatGPT oraz aplikacji CapCut i Notepad++, celując w użytkowników indywidualnych i firmy, które korzystają z platformy Meta Business.
Na celowniku konta Facebook i X
W ramach ataków najczęściej preparowane są fałszywe propozycje projektowe związane z wypuszczeniem nowego produktu lub kolekcji, a także przygotowywane są wiadomości e-mail lub strony internetowe z ofertami pracy. Według raportu cyberprzestępcy podszywali się pod takie marki jak: BMW, Prada, Fendi, Lacoste, L’Oreal, Toshiba czy Uniqlo.
Przykładowe fałszywe linki wykorzystane w atakach:
1. pradagroup[.]social/New_Project
2. fendii[.]com/Job.Description.Fendi.2023
– Nową funkcją, używaną przez hakerów od lipca 2023 r., jest zbieranie identyfikatorów użytkowników i plików cookie sesji z przeglądarek zalogowanych w platformie X (dawniej Twitter). Przewidujemy, że oprogramowanie DUCKTAIL może pojawić się również na innych platformach reklamowych. Coraz częściej DUCKTAIL obejmuje ataki wymierzone w użytkowników poszukujących pracy i freelancerów z wykorzystaniem fałszywych e-maili i stron, takich jak Upwork i Freelancer – podaje Mohammad Kazem Hassan Nejad z WithSecure Intelligence Research.
DUCKPORT – nowa odnoga DUCKTAIL
W marcu 2023 roku eksperci z WithSecure Intelligence zaczęli obserwować i śledzić aktywność hakerów wykorzystujących inny infostealer malware o nazwie DUCKPORT. Biorąc pod uwagę podobieństwo w funkcjonalności oraz sposobie dobierania ofiar ataków, został on uznany za odnogę DUCKTAIL. Specjaliści z WithSecure zwracają jednak uwagę, że ze względu na unikalne funkcje obu infostealerów powinny być one traktowane jako dwa oddzielne i równie poważne zagrożenia dla cyberbezpieczeństwa.
– DUCKPORT, podobnie jak DUCKTAIL, ma na celu wyłudzanie danych ofiar oraz przejmowanie kont na platformie Meta Business. Mechanizm rozprzestrzeniania zainfekowanego pliku przypominającego projekty, produkty lub oferty pracy najczęściej zaczyna się poprzez wysłanie go przez WhatsApp i LinkedIn. Cyberprzestępcy korzystający z DUCKPORT wabią ofiarę i zachęcają ją do kliknięcia w link lub pobrania plików. Pomocne jest dla nich legalne narzędzie Rebrandly do uwierzytelniania i skracania kodu URL przygotowanych przez siebie fałszywych stron – tłumaczy Mohammad Kazem Hassan Nejad
Przykładowe fałszywe linki przygotowane z wykorzystaniem Rebrandly:
1. hyundaimotorjob[.]social/HRM
2. nike-agency[.]link/us-job
Kto powinien zachować szczególną ostrożność?
Kody źródłowe DUCKTAIL, jak i DUCKPORT stale ulegają modyfikacjom. Zawarte w nich funkcje są nieustannie dodawane, usuwane, zmieniane lub przywracane, co czyni przeciwdziałanie takim atakom bardzo trudnym. Przewiduje się, że aktywność cyberprzestępców związana z DUCKTAIL i DUCKPORT będzie kontynuowana ze względu na swój potencjał finansowy. Osobom posiadającym dostęp do biznesowych kont w mediach społecznościowych oraz platformach reklamowych radzi się zachowanie szczególnej ostrożności.
O raporcie
„Meet the Ducks” to raport WithSecure koncentrujący się na wielostrumieniowej analizie ataków zwanych DUCKTAIL i DUCKPORT, prowadzonych przez wietnamską grupę cyberprzestępców. Obserwacje wskazują, że w głównej mierze są one wymierzone w użytkowników mediów społecznościowych (Facebook i Meta Business) oraz platform reklamowych.