Panaliti kami mendakan versi énggal tina kulawarga Ducktail malware. Cybercriminals ngagunakeun éta pikeun nargétkeun karyawan perusahaan anu ngagaduhan posisi anu cukup senior atanapi damel di HR, pamasaran digital atanapi pamasaran média sosial. Tujuan utama maranéhanana nyaéta pikeun ngabajak akun Facebook Business, janten masuk akal yén panyerang bakal resep ka jalma anu paling dipikaresep gaduh aksés kana akun éta. Kiwari, urang ngobrol ngeunaan kumaha serangan lumangsung, naon ilahar ngeunaan eta, sarta tangtu, kumaha carana ngajaga diri.

Umpan sareng beban bahaya

Anu dilakukeun ku cybercriminals tukangeun Ducktail nyaéta ngirim file jahat ka calon korban. Pikeun lull vigilance panarima, arsip ieu ngandung eupan dina bentuk file gambar jeung video dumasar-tema dina topik anu sarua. Contona, téma kampanye panganyarna (Maret nepi ka awal Oktober 2023) nyaéta fashion: surelek dikirim atas nama pamaén industri fashion utama jeung arsip ngandung poto barang pakean.

Nanging, dina arsip ieu ogé aya file anu tiasa dieksekusi. File ieu ngagaduhan ikon PDF sareng nami file anu panjang pisan pikeun ngaganggu korban tina ekstensi EXE. Salaku tambahan, nami file palsu sigana dipilih sacara saksama pikeun relevansi supados ngadorong panampi pikeun ngaklikana. Dina kampanye fashion-themed, aranjeunna nujul kana “tungtunan sarta sarat pikeun calon”, tapi baits séjén kayaning, Contona, daptar harga atawa nawaran komérsial, ogé bisa dipaké.

Eusi arsip Ducktail bahaya

Arsip Ducktail jahat ngandung file anu siga PDF tapi sabenerna EXEs

Saatos ngaklik dina file EXE disguised, naskah jahat dijalankeun dina alat target. Kahiji, eta mintonkeun eusi sababaraha file PDF napel kode malware, dina harepan yén korban teu bau beurit. Dina waktos anu sami, malware nyeken sadaya potong kompas dina desktop, menu Start, sareng toolbar Quick Launch. Éta milarian potong kompas ka browser basis Chromium, sapertos Google Chrome, Microsoft Edge, Vivaldi, Brave… Saatos mendakanana, malware ngarobih garis paréntahna ku nambihan petunjuk pikeun masang ekstensi browser, anu ogé dipasang dina file anu tiasa dieksekusi. . Lima menit ti harita, skrip jahat ngeureunkeun prosés browser, naroskeun pangguna pikeun ngamimitian deui nganggo salah sahiji potong kompas anu dirobih.

Ekstensi browser jahat

Sakali pangguna ngaklik potong kompas, ekstensi jahat dipasang dina browser, anu sacara ngayakinkeun nyamar salaku Google Docs Offline, nganggo ikon sareng pedaran anu sami (sanaos ngan ukur dina basa Inggris, anu tiasa nunjukkeun palsu di sababaraha daérah).

Ekstensi browser jahat

Ekstensi jahat anu masquerading salaku Google Docs Offline (kénca), sareng ekstensi Google Docs Offline anu saleresna (katuhu) dina browser Google Chrome.

Sakali dipasang sareng jalan, ekstensi jahat mimiti ngawaskeun sadaya tab anu dibuka ku pangguna dina browser sareng ngirim inpormasi ngeunaan éta ka server C2 panyerang. Upami éta mendakan alamat anu aya hubunganana sareng Facebook di antara tab anu dibuka, ekstensi jahat bakal mariksa akun Iklan sareng Usaha anjeun sareng ngabajakna.

Ekstensi ieu nyolong inpormasi tina akun Facebook anu asup kana alat korban, kitu ogé cookies sési aktip anu disimpen ku browser, anu tiasa dianggo pikeun log in akun tanpa auténtikasi.

Grup tukangeun malware ieu dilaporkeun geus aktip saprak 2018. Sababaraha tim panalungtikan yakin malware asalna ti Vietnam. Distribusi Ducktail ku grup tiasa ditangtukeun dugi ka 2021.

Kumaha ngajaga ngalawan Ducktails

Pikeun ngajaga ngalawan Ducktail sareng ancaman anu sami, karyawan ngan ukur kedah nengetan kabersihan digital dasar; khususna:

  • Ulah unduh arsip anu curiga dina komputer kerja — khususna upami tautanna asalna tina sumber anu teu dipercaya.
  • Parios sacara saksama ekstensi sadaya file anu diunduh tina internét atanapi email sateuacan dibuka.
  • Tong pernah ngaklik file anu katingali sapertos dokumen anu teu bahaya tapi gaduh ekstensi EXE – ieu mangrupikeun tanda anu jelas tina malware.
  • Salawasna pasang panyalindungan dipercaya dina sadaya alat gawé. Ieu bakal ngingetkeun anjeun ngeunaan poténsi bahaya sareng ngelehkeun serangan dina waktosna. Solusi urang ngadeteksi ancaman ieu ku vonis Trojan.Win64.Ducktail.gen.
  • Anjeun tiasa mendakan indikator kompromi ogé detil téknis salajengna ngeunaan malware ieu dina tulisan blog Securelist masing-masing.


#Kumaha #Ducktail #maok #akun #Facebook