Une campagne de harponnage connue sous le nom de "Ducktail" fait le tour de LinkedIn en ciblant les personnes qui gèrent des comptes Facebook Business. Un infostealer est utilisé dans le processus pour accéder à l'information.
Des individus spécifiques sont ciblés par l'acteur malveillant
Dans la queue de canard hameçonnage campagne, les attaquants ciblent uniquement les personnes qui gèrent des comptes Facebook Business, et ont donc obtenu certaines autorisations pour les outils de publicité et de marketing d'une entreprise sur Facebook. Ceux qui sont affichés sur LinkedIn pour avoir des rôles dans le marketing numérique, le marketing des médias sociaux, la publicité numérique ou similaire, sont les principales cibles de cet attaquant.
Cabinet de cybersécurité WithSecure rapporté dans une publication récente que le logiciel malveillant Ducktail est le premier du genre et qu'il serait contrôlé par un opérateur vietnamien.
On ne sait pas exactement depuis combien de temps cette campagne dure, mais elle a été confirmée active depuis au moins un an. Cependant, Ducktail a peut-être été créé et utilisé pour la première fois il y a quatre ans au moment de la rédaction.
Bien que les comptes LinkedIn ne soient pas directement ciblés dans cette campagne, la plateforme est utilisée comme un véhicule pour accéder aux cibles. L'acteur malveillant recherche des utilisateurs dont les rôles suggèrent qu'ils disposent d'un accès de haut niveau aux outils publicitaires de leur employeur, y compris leur compte Facebook Business.
Ensuite, l'attaquant utilisera l'ingénierie sociale pour persuader la victime de télécharger un fichier d'archive contenant un exécutable de logiciel malveillant. ainsi que des images et des fichiers supplémentaires, tous hébergés par divers fournisseurs de stockage en nuage, tels que Dropbox et iCloud. Le malware Ducktail est écrit en .NET Core, un framework logiciel open source. Cela signifie que le logiciel malveillant Infostealer peut s'exécuter sur presque tous les appareils, quel que soit le système d'exploitation qu'il utilise.
Le logiciel malveillant Ducktail peut ensuite rechercher les cookies du navigateur pour trouver les informations de connexion requises pour accéder à un compte Facebook Business en détourner le cookie de session. En piratant un compte Facebook Business, des informations sensibles sur l'entreprise, ses clients et la dynamique publicitaire peuvent être volées.
Le gain financier est l'objectif probable de la campagne Ducktail
WithSecure a déclaré dans son article sur Ducktail que les actions de la partie malveillante sont probablement "financièrement motivées". Lorsque l'attaquant prend le contrôle total du compte Facebook Business ciblé, il peut modifier la carte de crédit et les informations transactionnelles, et utilisent les méthodes de paiement de l'entreprise pour diffuser leur propre publicité campagnes. Cela peut être financièrement préjudiciable à l'entreprise, mais peut prendre un certain temps à s'en apercevoir, ce qui donne à l'acteur malveillant plus de temps pour exploiter la victime.
Ducktail pourrait accumuler de nombreuses victimes dans un avenir proche
Étant donné que Ducktail est un type de malware unique en son genre et cible un domaine que de nombreuses personnes ne penseraient pas à vérifier, il pourrait être utilisé pour exploiter avec succès une longue liste de victimes au fil du temps. Bien que l'on ne sache pas si l'attaquant a réussi à infiltrer des comptes Facebook Business, la menace demeure.
