Internet & Gry - Reklama

DUCKTAIL i DUCKPORT – podstępne zagrożenia dla użytkowników Meta Business

Grzegorz Stapiński

W ciągu ostatniego pół roku nastąpił nagły wzrost aktywności złośliwego oprogramowania DUCKTAIL, którego celem są konta biznesowe przeznaczone do działań marketingowych i PR-owych – wynika z raportu WithSecure. Poza kontami Facebook Business zagrożone są profile na platformie X (dawniej Twitter). Za atakami stoją cyberprzestępcy z Wietnamu. Pojawiła się również dodatkowa odnoga złośliwego oprogramowania – DUCKPORT. Działalność phishingowa odbywa się za pośrednictwem LinkedIn lub WhatsAppa, a cyberprzestępcy korzystają z legalnego narzędzia Rebrandly do uwierzytelniania i skracania adresu URL przygotowanych przez siebie fałszywych stron.

 

Fałszywe propozycje

DUCKTAIL to infostealer malware, czyli złośliwe oprogramowanie stworzone do wykradania cookies przeglądarki i wykorzystywania uwierzytelnionych sesji Facebooka w celu pobrania informacji z konta ofiary. Ostatecznie przejmowane są wszystkie konta Facebook Business, do których ma dostęp zaatakowana osoba. Hakerzy wykorzystują tematy związane z cyfrowym marketingiem, dotyczące np. ChatGPT oraz aplikacji CapCut i Notepad++, celując w użytkowników indywidualnych i firmy, które korzystają z platformy Meta Business.

Na celowniku konta Facebook i X

W ramach ataków najczęściej preparowane są fałszywe propozycje projektowe związane z wypuszczeniem nowego produktu lub kolekcji, a także przygotowywane są wiadomości e-mail lub strony internetowe z ofertami pracy. Według raportu cyberprzestępcy podszywali się pod takie marki jak: BMW, Prada, Fendi, Lacoste, L’Oreal, Toshiba czy Uniqlo.

Przykładowe fałszywe linki wykorzystane w atakach:

1. pradagroup[.]social/New_Project

2. fendii[.]com/Job.Description.Fendi.2023

– Nową funkcją, używaną przez hakerów od lipca 2023 r., jest zbieranie identyfikatorów użytkowników i plików cookie sesji z przeglądarek zalogowanych w platformie X (dawniej Twitter). Przewidujemy, że oprogramowanie DUCKTAIL może pojawić się również na innych platformach reklamowych. Coraz częściej DUCKTAIL obejmuje ataki wymierzone w użytkowników poszukujących pracy i freelancerów z wykorzystaniem fałszywych e-maili i stron, takich jak Upwork i Freelancer – podaje Mohammad Kazem Hassan Nejad z WithSecure Intelligence Research.

 

Rysunek 1. Przykład załączników do spreparowanej oferty pracy dla znanej marki

 

Rysunek 2. Przykład załączników do spreparowanej oferty pracy dla znanej marki

 

DUCKPORT – nowa odnoga DUCKTAIL

W marcu 2023 roku eksperci z WithSecure Intelligence zaczęli obserwować i śledzić aktywność hakerów wykorzystujących inny infostealer malware o nazwie DUCKPORT. Biorąc pod uwagę podobieństwo w funkcjonalności oraz sposobie dobierania ofiar ataków, został on uznany za odnogę DUCKTAIL. Specjaliści z WithSecure zwracają jednak uwagę, że ze względu na unikalne funkcje obu infostealerów powinny być one traktowane jako dwa oddzielne i równie poważne zagrożenia dla cyberbezpieczeństwa.

– DUCKPORT, podobnie jak DUCKTAIL, ma na celu wyłudzanie danych ofiar oraz przejmowanie kont na platformie Meta Business. Mechanizm rozprzestrzeniania zainfekowanego pliku przypominającego projekty, produkty lub oferty pracy najczęściej zaczyna się poprzez wysłanie go przez WhatsApp i LinkedIn. Cyberprzestępcy korzystający z DUCKPORT wabią ofiarę i zachęcają ją do kliknięcia w link lub pobrania plików. Pomocne jest dla nich legalne narzędzie Rebrandly do uwierzytelniania i skracania kodu URL przygotowanych przez siebie fałszywych strontłumaczy Mohammad Kazem Hassan Nejad

Przykładowe fałszywe linki przygotowane z wykorzystaniem Rebrandly:

1. hyundaimotorjob[.]social/HRM

2. nike-agency[.]link/us-job

Kto powinien zachować szczególną ostrożność?

Kody źródłowe DUCKTAIL, jak i DUCKPORT stale ulegają modyfikacjom. Zawarte w nich funkcje są nieustannie dodawane, usuwane, zmieniane lub przywracane, co czyni przeciwdziałanie takim atakom bardzo trudnym. Przewiduje się, że aktywność cyberprzestępców związana z DUCKTAIL i DUCKPORT będzie kontynuowana ze względu na swój potencjał finansowy. Osobom posiadającym dostęp do biznesowych kont w mediach społecznościowych oraz platformach reklamowych radzi się zachowanie szczególnej ostrożności.

O raporcie

„Meet the Ducks” to raport WithSecure koncentrujący się na wielostrumieniowej analizie ataków zwanych DUCKTAIL i DUCKPORT, prowadzonych przez wietnamską grupę cyberprzestępców. Obserwacje wskazują, że w głównej mierze są one wymierzone w użytkowników mediów społecznościowych (Facebook i Meta Business) oraz platform reklamowych.

Pełna wersja raportu dostępna jest pod adresem: https://labs.withsecure.com/publications/meet-the-ducks.

foto. materiał prasowy WithSecure

Zobacz również

Filmy na YouTube zachęcają do fałszywych inwestycji w kryptowaluty

Grzegorz Stapiński

Czerwony, fioletowy, niebieski – co oznaczają kolory zespołów ds. cyberbezpieczeństwa?

Grzegorz Stapiński

Grupa Lazarus znów aktywna

Grzegorz Stapiński

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *