Poznań – 29 września 2023 – W ciągu ostatniego pół roku nastąpił nagły wzrost aktywności złośliwego oprogramowania DUCKTAIL, którego celem są konta biznesowe przeznaczone do działań marketingowych i PR-owych –wynika z raportu WithSecure. Poza kontami Facebook Business zagrożone są profile na platformie X (dawniej Twitter). Za atakami stoją cyberprzestępcy z Wietnamu. Pojawiła się również dodatkowa odnoga złośliwego oprogramowania – DUCKPORT. Działalność phishingowa odbywa się za pośrednictwem LinkedIn lub WhatsAppa, a cyberprzestępcy korzystają z legalnego narzędzia Rebrandly do uwierzytelniania i skracania adresu URL przygotowanych przez siebie fałszywych stron.
Fałszywe propozycje
DUCKTAIL to infostealer malware, czyli złośliwe oprogramowanie stworzone do wykradania cookies przeglądarki i wykorzystywania uwierzytelnionych sesji Facebooka w celu pobrania informacji z konta ofiary. Ostatecznie przejmowane są wszystkie konta Facebook Business, do których ma dostęp zaatakowana osoba. Hakerzy wykorzystują tematy związane z cyfrowym marketingiem, dotyczące np. ChatGPT oraz aplikacji CapCut i Notepad++, celując w użytkowników indywidualnych i firmy, które korzystają z platformy Meta Business.
Na celowniku konta Facebook i X
W ramach ataków najczęściej preparowane są fałszywe propozycje projektowe związane z wypuszczeniem nowego produktu lub kolekcji, a także przygotowywane są wiadomości e-mail lub strony internetowe z ofertami pracy. Według raportu cyberprzestępcy podszywali się pod takie marki jak: BMW, Prada, Fendi, Lacoste, L’Oreal, Toshiba czy Uniqlo.
Przykładowe fałszywe linki wykorzystane w atakach:
- pradagroup[.]social/New_Project
- fendii[.]com/Job.Description.Fendi.2023
– Nową funkcją, używaną przez hakerów od lipca 2023 r., jest zbieranie identyfikatorów użytkowników
i plików cookie sesji z przeglądarek zalogowanych w platformie X (dawniej Twitter). Przewidujemy, że oprogramowanie DUCKTAIL może pojawić się również na innych platformach reklamowych. Coraz częściej DUCKTAIL obejmuje ataki wymierzone w użytkowników poszukujących pracy i freelancerów z wykorzystaniem fałszywych e-maili i stron, takich jak Upwork i Freelancer – podaje Mohammad Kazem Hassan Nejad z WithSecure Intelligence Research.
Rysunek 1. Przykład załączników do spreparowanej oferty pracy dla znanej marki
Rysunek 2. Przykład załączników do spreparowanej oferty pracy dla znanej marki
DUCKPORT – nowa odnoga DUCKTAIL
W marcu 2023 roku eksperci z WithSecure Intelligence zaczęli obserwować i śledzić aktywność hakerów wykorzystujących inny infostealer malware o nazwie DUCKPORT. Biorąc pod uwagę podobieństwo w funkcjonalności oraz sposobie dobierania ofiar ataków, został on uznany za odnogę DUCKTAIL. Specjaliści z WithSecure zwracają jednak uwagę, że ze względu na unikalne funkcje obu infostealerów powinny być one traktowane jako dwa oddzielne i równie poważne zagrożenia dla cyberbezpieczeństwa.
– DUCKPORT, podobnie jak DUCKTAIL, ma na celu wyłudzanie danych ofiar oraz przejmowanie kont na platformie Meta Business. Mechanizm rozprzestrzeniania zainfekowanego pliku przypominającego projekty, produkty lub oferty pracy najczęściej zaczyna się poprzez wysłanie go przez WhatsApp i LinkedIn. Cyberprzestępcy korzystający z DUCKPORT wabią ofiarę i zachęcają ją do kliknięcia w link lub pobrania plików. Pomocne jest dla nich legalne narzędzie Rebrandly do uwierzytelniania i skracania kodu URL przygotowanych przez siebie fałszywych stron – tłumaczy Mohammad Kazem Hassan Nejad
Przykładowe fałszywe linki przygotowane z wykorzystaniem Rebrandly:
- hyundaimotorjob[.]social/HRM
- nike-agency[.]link/us-job
Kto powinien zachować szczególną ostrożność?
Kody źródłowe DUCKTAIL, jak i DUCKPORT stale ulegają modyfikacjom. Zawarte w nich funkcje są nieustannie dodawane, usuwane, zmieniane lub przywracane, co czyni przeciwdziałanie takim atakom bardzo trudnym. Przewiduje się, że aktywność cyberprzestępców związana z DUCKTAIL i DUCKPORT będzie kontynuowana ze względu na swój potencjał finansowy. Osobom posiadającym dostęp do biznesowych kont w mediach społecznościowych oraz platformach reklamowych radzi się zachowanie szczególnej ostrożności.
O raporcie
„Meet the Ducks” to raport WithSecure koncentrujący się na wielostrumieniowej analizie ataków zwanych DUCKTAIL i DUCKPORT, prowadzonych przez wietnamską grupę cyberprzestępców. Obserwacje wskazują, że w głównej mierze są one wymierzone w użytkowników mediów społecznościowych (Facebook i Meta Business) oraz platform reklamowych.
Pełna wersja raportu dostępna jest pod adresem: https://labs.withsecure.com/publications/meet-the-ducks.
O WithSecure™
WithSecure™, dawniej F-Secure Business, to niezawodny partner w dziedzinie cyberbezpieczeństwa. Dostawcy usług IT, MSSP i inne firmy – w tym największe instytucje finansowe, producenci i tysiące dostawców najbardziej zaawansowanych technologii i usług komunikacyjnych – ufają WithSecure™
w zakresie efektywnego cyberbezpieczeństwa, które chroni i umożliwia ich funkcjonowanie. Ochrona oparta na sztucznej inteligencji zabezpiecza urządzenia końcowe i rozwiązania chmurowe,
a inteligentne systemy wykrywania i reagowania są wspierane przez ekspertów, którzy identyfikują ryzyko biznesowe poprzez proaktywne wyszukiwanie zagrożeń i stawianie czoła atakom w czasie rzeczywistym. Konsultanci WithSecure™ współpracują z przedsiębiorstwami w celu budowania odporności na ataki poprzez doradztwo w zakresie bezpieczeństwa opartego na dowodach. Dzięki ponad 30-letniemu doświadczeniu w tworzeniu technologii zgodnej z celami biznesowymi, WithSecure™ zbudowało portfolio, pozwalające na rozwój własny i partnerów poprzez elastyczne modele handlowe.
Firma WithSecure™ Corporation została założona w 1988 roku i jest notowana na Helsińskiej Giełdzie Papierów Wartościowych w ramach indeksu NASDAQ OMX Helsinki Ltd.