Ducktail มุ่งเป้าไปที่ผู้เชี่ยวชาญด้านการตลาดในอุตสาหกรรมแฟชั่นด้วยแคมเปญล่าสุด โดยผู้คุกคามจะส่งเอกสารสำคัญที่มีภาพผลิตภัณฑ์ของแท้จากบริษัทที่มีชื่อเสียง ควบคู่ไปกับไฟล์ปฏิบัติการที่เป็นอันตรายซึ่งพรางตัวเป็นไฟล์ PDF

ตาม รายงาน ทันทีที่ Kaspersky ดำเนินการ มัลแวร์จะเปิดไฟล์ PDF ของแท้ที่ฝังไว้ โดยมีรายละเอียดข้อมูลงาน พร้อมการโจมตีที่ออกแบบมาเพื่อดึงดูดนักการตลาดที่กระตือรือร้นที่กำลังมองหาการเปลี่ยนแปลงอาชีพ

วัตถุประสงค์ของมัลแวร์คือการติดตั้งส่วนขยายเบราว์เซอร์ที่เชี่ยวชาญในการขโมยบัญชีธุรกิจและโฆษณาของ Facebook โดยมีแนวโน้มที่จะขายข้อมูลรับรองที่ถูกขโมย

รายงานระบุว่าการเปลี่ยนแปลงเชิงกลยุทธ์นี้บ่งชี้ถึงความซับซ้อนที่พัฒนาในเทคนิคการโจมตีของ Ducktail ซึ่งได้รับการปรับแต่งเพื่อใช้ประโยชน์จากกลุ่มประชากรมืออาชีพโดยเฉพาะ

ภายในกิจวัตรการติดเชื้อมัลแวร์ Ducktail

เมื่อเหยื่อเปิดไฟล์ที่เป็นอันตราย มันจะบันทึกสคริปต์ PowerShell (param.ps1) และไฟล์ PDF ปลอมไปยังไดเร็กทอรีสาธารณะของอุปกรณ์

สคริปต์ซึ่งเปิดใช้งานโดยโปรแกรมดู PDF เริ่มต้นจะเปิด PDF ปลอม หยุดชั่วคราว จากนั้นปิดเบราว์เซอร์ Chrome

ในขณะเดียวกัน การโจมตีจะบันทึกไฟล์ส่วนขยายของเบราว์เซอร์ที่หลอกลวงไปยังไดเร็กทอรีของ Google Chrome โดยปลอมตัวเป็นส่วนขยายของ Google Docs Offline มัลแวร์สามารถเปลี่ยนเส้นทางในการโฮสต์ส่วนขยายได้

สคริปต์หลักที่ถูกปิดบังจะส่งรายละเอียดของแท็บเบราว์เซอร์ที่เปิดอยู่ไปยังเซิร์ฟเวอร์คำสั่งและการควบคุม (C2) อย่างสม่ำเสมอ

หากตรวจพบ URL ที่เกี่ยวข้องกับ Facebook ส่วนขยายจะพยายามขโมยโฆษณาและบัญชีธุรกิจ โดยแยกคุกกี้และรายละเอียดบัญชี

หากต้องการข้ามการตรวจสอบสิทธิ์แบบสองปัจจัย (2FA) ส่วนขยายจะใช้คำขอ Facebook API และบริการสด 2fa[.] จากเวียดนาม ข้อมูลประจำตัวที่ถูกขโมยจะถูกส่งไปยัง C2 ซึ่งตั้งอยู่ในเวียดนาม

ในแคมเปญนี้ สคริปต์เพิ่มเติม (jquery-3.3.1.min.js) จะถูกบันทึกลงในโฟลเดอร์ส่วนขยาย ซึ่งเป็นเวอร์ชันที่เสียหายของสคริปต์หลักจากการโจมตีครั้งก่อน

ผู้คุกคามได้ใช้แนวทางใหม่โดยใช้ประโยชน์จาก Delphi เป็นภาษาการเขียนโปรแกรม โดยแยกจากแนวทางแอปพลิเคชัน .NET ตามปกติ

วิธีป้องกันการโจมตีทางไซเบอร์ Ducktail

การใช้ภาษาการเขียนโปรแกรม Delphi ของแคมเปญมัลแวร์ Ducktail สร้างความท้าทายในการตรวจจับสำหรับทีมรักษาความปลอดภัย เนื่องจากการป้องกันไวรัสที่ใช้ลายเซ็นที่ไม่ธรรมดาของภาษาอาจพลาดภัยคุกคามนี้

“เพื่อปรับปรุงการตรวจสอบ องค์กรต่างๆ ควรใช้การวิเคราะห์ตามพฤติกรรมและการตรวจสอบพฤติกรรมมากขึ้นเพื่อระบุความผิดปกติที่บ่งบอกถึงกิจกรรมที่เป็นอันตราย” Amelia Buck นักวิเคราะห์ข่าวกรองภัยคุกคามที่ Menlo Security อธิบาย

เธอกล่าวว่าทีมการตลาดโดยเฉพาะควรได้รับการฝึกอบรมให้ตรวจจับวิศวกรรมสังคม เนื่องจากการโจมตีที่ออกแบบมาเพื่อทำให้พวกเขาเข้าใจผิด

“เกี่ยวกับกลยุทธ์วิศวกรรมสังคม ไฟล์รูปภาพของผลิตภัณฑ์จากแบรนด์แฟชั่นที่มีชื่อเสียงที่มีลักษณะถูกต้องตามกฎหมายจะสร้างความไว้วางใจก่อนที่จะส่งไฟล์ PDF ที่ติดไวรัส” Buck กล่าว

เธอชี้ให้เห็นว่าการฝึกอบรมควรแนะนำให้พนักงานสงสัยไฟล์ไม่พึงประสงค์จากผู้ส่งภายนอก หลีกเลี่ยงการเปิดใช้งานมาโคร และตรวจสอบไฟล์แนบที่ไม่คาดคิดผ่านการยืนยันภายในก่อนเปิด

“ควรใช้ความระมัดระวังแม้จะมีเนื้อหาที่เกี่ยวข้องกับงาน เนื่องจากความเกี่ยวข้องจะสร้างความน่าเชื่อถือสำหรับการหลอกลวง” เธออธิบาย “พนักงานควรตรวจสอบที่อยู่ของผู้ส่งเพื่อการปลอมแปลง แทนที่จะถือว่าไซต์นั้นถูกต้องตามกฎหมาย”

เธอเสริมว่าส่วนประกอบส่วนขยายเบราว์เซอร์ยังรับประกันการป้องกัน โดยแนะนำให้พนักงานทุกคนเปิดใช้งานการรับรองความถูกต้องแบบหลายปัจจัยสำหรับโซเชียลมีเดียและบัญชีอื่น ๆ ที่มีข้อมูลที่ละเอียดอ่อน

“อย่างไรก็ตาม เรื่องนี้ไม่ควรเชื่อถือ” เธออธิบาย “พวกเขาควรหลีกเลี่ยงการป้อนข้อมูลรับรองลงในส่วนขยายของบุคคลที่สาม คอยดูการติดตั้งส่วนขยายเบราว์เซอร์ที่ไม่ได้รับอนุมัติ และหลีกเลี่ยงการใช้ข้อมูลรับรองการทำงานเพื่อการเรียกดูแบบส่วนตัว”

การจัดหาผู้จัดการรหัสผ่านจะช่วยเพิ่มความปลอดภัยให้กับบัญชีจากการใช้รหัสผ่านซ้ำในบัญชีที่ถูกบุกรุก

ภัยคุกคามต่อเนื่องของ Ducktail

Ducktail เปิดใช้งานตั้งแต่อย่างน้อยพฤษภาคม 2021 และมี ผู้ใช้ที่ได้รับผลกระทบ ด้วยบัญชีธุรกิจ Facebook ในสหรัฐอเมริกาและอีกกว่าสามสิบประเทศ

ปฏิบัติการอาชญากรรมทางการเงินในโลกไซเบอร์ในเวียดนามที่อยู่เบื้องหลัง Ducktail ได้แสดงให้เห็นถึงความสามารถในการปรับตัวในกลยุทธ์การโจมตีอย่างต่อเนื่อง

นอกเหนือจากการใช้ LinkedIn เป็นช่องทางในการกำหนดเป้าหมายแบบสเปียร์ฟิชชิงอย่างที่เคยทำมาแล้ว แคมเปญก่อนหน้ากลุ่ม Ducktail ได้เริ่มใช้งานแล้ว WhatsApp เพื่อกำหนดเป้าหมายผู้ใช้.

นักวิจัยด้านความปลอดภัยทางไซเบอร์ เพิ่งค้นพบ การเชื่อมต่อระหว่างโทรจันการเข้าถึงระยะไกล (RAT) ของ DarkGate ที่ฉาวโฉ่และ Ducktail ซึ่งพิจารณาจากเครื่องหมายที่ไม่ใช่ทางเทคนิค เช่น ไฟล์ล่อ รูปแบบการกำหนดเป้าหมาย และวิธีการจัดส่ง

• เนื้อหาที่ขับเคลื่อนด้วย SEO และการเผยแพร่ประชาสัมพันธ์ รับการขยายวันนี้
• PlatoData.Network Vertical Generative Ai เพิ่มพลังให้กับตัวเอง เข้าถึงได้ที่นี่.
• เพลโตไอสตรีม. Web3 อัจฉริยะ ขยายความรู้ เข้าถึงได้ที่นี่.
• เพลโตESG. คาร์บอน, คลีนเทค, พลังงาน, สิ่งแวดล้อม แสงอาทิตย์, การจัดการของเสีย. เข้าถึงได้ที่นี่.
• เพลโตสุขภาพ เทคโนโลยีชีวภาพและข่าวกรองการทดลองทางคลินิก เข้าถึงได้ที่นี่.
• ที่มา: https://www.darkreading.com/threat-intelligence/ducktail-malware-targets-fashion-industry