Ducktail-nimellä tunnettu keihäänkalastelukampanja etenee LinkedInissä kohdentamalla Facebook Business -tilejä hallinnoiviin henkilöihin. Prosessissa käytetään infostealeriä tietojen saamiseksi.
Haitallisen toimijan kohteena ovat tietyt henkilöt
Ducktailissa keihäs phishing -kampanjassa hyökkääjät kohdistavat kohteena vain henkilöitä, jotka hallinnoivat Facebook Business -tilejä ja siksi on myönnetty tietyt luvat yrityksen mainonnan ja markkinoinnin työkaluihin Facebook. Tämän hyökkääjän ensisijaisia kohteita ovat ne, jotka LinkedInissä näkyvät digitaalisessa markkinoinnissa, sosiaalisen median markkinoinnissa, digitaalisessa mainonnassa tai vastaavissa.
Kyberturvallisuusyritys WithSecure kerrotaan tuoreessa julkaisussa että Ducktail-haittaohjelma on ensimmäinen laatuaan ja sen uskotaan olevan vietnamilaisen operaattorin hallinnassa.
Ei tiedetä tarkalleen kuinka kauan tämä kampanja on jatkunut, mutta se on vahvistettu aktiiviseksi ainakin vuoden ajan. Ducktail on kuitenkin saatettu luoda ja käyttää ensimmäistä kertaa jopa neljä vuotta sitten tätä kirjoitettaessa.
Vaikka LinkedIn-tilejä ei kohdisteta suoraan tässä kampanjassa, alustaa käytetään välineenä tavoitteisiin pääsemiseksi. Haitallinen toimija etsii käyttäjiä, joiden roolit viittaavat siihen, että heillä on korkeatasoinen pääsy työnantajansa mainostyökaluihin, mukaan lukien Facebook Business -tili.
Sitten hyökkääjä käyttää sosiaalista manipulointia saadakseen uhrin lataamaan arkistotiedoston, joka sisältää haittaohjelman suoritettavan tiedoston. sekä joitain muita kuvia ja tiedostoja, joita kaikki isännöivät useat pilvitallennuspalveluntarjoajat, kuten Dropbox ja iCloud. Ducktail-haittaohjelma on kirjoitettu .NET Coreen, avoimen lähdekoodin ohjelmistokehykseen. Tämä tarkoittaa, että infostealer-haittaohjelma voi toimia lähes kaikilla laitteilla, riippumatta sen käyttämästä käyttöjärjestelmästä.
Ducktail-haittaohjelma voi sitten etsiä selaimen evästeitä löytääkseen tarvittavat kirjautumistiedot, joita tarvitaan Facebook Business -tilin käyttämiseen istunnon evästeen kaappaus. Hakkeroimalla Facebook Business -tilin, arkaluonteisia tietoja yrityksestä, sen asiakkaista ja mainonnan dynamiikasta voidaan varastaa.
Taloudellinen voitto on Ducktail-kampanjan todennäköinen tavoite
WithSecure on ilmoittanut sen viesti Ducktailista että pahantahtoisen osapuolen toimet ovat todennäköisesti "taloudellisia". Kun hyökkääjä saa kohteena olevan Facebook Business -tilin täyden hallinnan, hän voi muokata luottokorttia ja tapahtumatietoja ja käyttävät yrityksen maksutapoja oman mainonnan toteuttamiseen kampanjoita. Tämä voi olla taloudellisesti vahingollista yritykselle, mutta sen huomaaminen voi kestää hetken, jolloin pahantahtoiselle toimijalle jää enemmän aikaa uhrin hyväksikäyttöön.
Ducktail voi kerätä monia uhreja lähitulevaisuudessa
Koska Ducktail on ainutlaatuinen haittaohjelmatyyppi ja se kohdistuu alueelle, jota monet ihmiset eivät uskoisi tarkistavan, sitä voitaisiin käyttää menestyksekkäästi hyödyntämään pitkää uhrilistaa ajan mittaan. Vaikka ei tiedetä, onko hyökkääjä onnistuneesti tunkeutunut Facebook Business -tileille, uhka on edelleen olemassa.
