"Ducktail" nime all tuntud andmepüügikampaania teeb LinkedInis tiiru peale, sihites Facebooki ettevõtte kontosid haldavaid inimesi. Selle protsessi käigus kasutatakse teabele juurdepääsu saamiseks infovarast.
Pahatahtlik tegutseja sihib konkreetseid isikuid
Ducktailis oda andmepüügi kampaania, ründajad sihivad ainult üksikisikuid, kes haldavad Facebook Businessi kontosid ja seetõttu on neile antud teatud õigused ettevõtte reklaami- ja turundustööriistadele Facebook. Need, kellel on LinkedInis näidatud rolle digitaalse turunduse, sotsiaalmeedia turunduse, digitaalse reklaamimise või muu sarnases valdkonnas, on selle ründaja peamised sihtmärgid.
Küberturvalisuse ettevõte WithSecure teatas hiljutises väljaandes et Ducktaili pahavara on esimene omataoline ja arvatakse, et seda kontrollib Vietnami operaator.
Pole täpselt teada, kui kaua see kampaania on kestnud, kuid see on kinnitatud aktiivseks vähemalt aasta. Ducktail võis aga olla loodud ja esmakordselt kasutusel olnud koguni neli aastat tagasi kirjutamise ajal.
Kuigi LinkedIni kontosid selles kampaanias otseselt ei sihita, kasutatakse platvormi sihtmärkidele juurdepääsu vahendina. Pahatahtlik näitleja otsib kasutajaid, kelle rollid viitavad sellele, et neil on kõrgetasemeline juurdepääs tööandja reklaamitööriistadele, sealhulgas Facebook Businessi kontole.
Seejärel kasutab ründaja sotsiaalset manipuleerimist, et veenda ohvrit alla laadima arhiivifaili, mis sisaldab pahavara käivitatavat faili. samuti mõned täiendavad pildid ja failid, mida kõiki hostivad mitmesugused pilvesalvestuse pakkujad, nagu Dropbox ja iCloud. Ducktaili pahavara on kirjutatud avatud lähtekoodiga tarkvararaamistikus .NET Core. See tähendab, et infostealeri pahavara võib töötada peaaegu igas seadmes, olenemata kasutatavast operatsioonisüsteemist.
Ducktaili pahavara saab seejärel otsida brauseri küpsiseid, et leida Facebook Businessi kontole juurdepääsuks vajalik sisselogimisinfo seansiküpsise kaaperdamine. Facebook Businessi konto häkkimisel võidakse varastada tundlikku teavet ettevõtte, selle klientide ja reklaamide dünaamika kohta.
Rahaline kasum on Ducktaili kampaania tõenäoline eesmärk
WithSecure on öelnud selle postitus Ducktaili kohta et pahatahtliku osapoole tegevus on tõenäoliselt "rahaliselt ajendatud". Kui ründaja saab sihitud Facebook Businessi konto üle täieliku kontrolli, saab ta krediitkaarti muuta ja tehinguteavet ning kasutavad oma reklaamide esitamiseks ettevõtte makseviise kampaaniad. See võib olla ettevõttele rahaliselt kahjulik, kuid selle märkamine võib võtta veidi aega, mis annab pahatahtlikule tegutsejale rohkem aega ohvri ärakasutamiseks.
Ducktail võib lähitulevikus koguda palju ohvreid
Kuna Ducktail on ainulaadne pahavara tüüp ja sihib valdkonda, mida paljud inimesed ei mõtlekski kontrollida, saab seda kasutada pika ohvrite nimekirja edukaks ärakasutamiseks aja jooksul. Kuigi pole teada, kas ründaja on mõnele Facebook Businessi kontole edukalt sisse tunginud, on oht endiselt olemas.