eGospodarka.pl
eGospodarka.pl poleca

eGospodarka.plWiadomościTechnologieInternet › DUCKTAIL i DUCKPORT atakują użytkowników Meta Business

DUCKTAIL i DUCKPORT atakują użytkowników Meta Business

2023-09-29 10:13

DUCKTAIL i DUCKPORT atakują użytkowników Meta Business

Rysunek 1. Przykład załączników do spreparowanej oferty pracy dla znanej marki © fot. mat. prasowe

PRZEJDŹ DO GALERII ZDJĘĆ (2)

W ciągu ostatniego pół roku nastąpił nagły wzrost aktywności złośliwego oprogramowania DUCKTAIL, którego celem są konta biznesowe przeznaczone do działań marketingowych i PR-owych – wynika z raportu WithSecure. Poza kontami Facebook Business zagrożone są profile na platformie X (dawniej Twitter). Za atakami stoją cyberprzestępcy z Wietnamu. Pojawiła się również dodatkowa odnoga złośliwego oprogramowania – DUCKPORT. Działalność phishingowa odbywa się za pośrednictwem LinkedIn lub WhatsAppa, a cyberprzestępcy korzystają z legalnego narzędzia Rebrandly do uwierzytelniania i skracania adresu URL przygotowanych przez siebie fałszywych stron.

Przeczytaj także: Guloader najczęściej wykrywanym złośliwym programem w Polsce

Fałszywe propozycje


DUCKTAIL to infostealer malware, czyli złośliwe oprogramowanie stworzone do wykradania cookies przeglądarki i wykorzystywania uwierzytelnionych sesji Facebooka w celu pobrania informacji z konta ofiary. Ostatecznie przejmowane są wszystkie konta Facebook Business, do których ma dostęp zaatakowana osoba. Hakerzy wykorzystują tematy związane z cyfrowym marketingiem, dotyczące np. ChatGPT oraz aplikacji CapCut i Notepad++, celując w użytkowników indywidualnych i firmy, które korzystają z platformy Meta Business.

Na celowniku konta Facebook i X


W ramach ataków najczęściej preparowane są fałszywe propozycje projektowe związane z wypuszczeniem nowego produktu lub kolekcji, a także przygotowywane są wiadomości e-mail lub strony internetowe z ofertami pracy. Według raportu cyberprzestępcy podszywali się pod takie marki jak: BMW, Prada, Fendi, Lacoste, L’Oreal, Toshiba czy Uniqlo.

Przykładowe fałszywe linki wykorzystane w atakach:
  • pradagroup[.]social/New_Project
  • fendii[.]com/Job.Description.Fendi.2023

Nową funkcją, używaną przez hakerów od lipca 2023 r., jest zbieranie identyfikatorów użytkowników i plików cookie sesji z przeglądarek zalogowanych w platformie X (dawniej Twitter). Przewidujemy, że oprogramowanie DUCKTAIL może pojawić się również na innych platformach reklamowych. Coraz częściej DUCKTAIL obejmuje ataki wymierzone w użytkowników poszukujących pracy i freelancerów z wykorzystaniem fałszywych e-maili i stron, takich jak Upwork i Freelancer – podaje Mohammad Kazem Hassan Nejad z WithSecure Intelligence Research.

fot. mat. prasowe

Rysunek 1. Przykład załączników do spreparowanej oferty pracy dla znanej marki

Coraz częściej DUCKTAIL obejmuje ataki wymierzone w użytkowników poszukujących pracy i freelancerów z wykorzystaniem fałszywych e-maili i stron, takich jak Upwork i Freelancer.


fot. mat. prasowe

Rysunek 2. Przykład załączników do spreparowanej oferty pracy dla znanej marki

Cyberprzestępcy podszywali się pod takie marki jak: BMW, Prada, Fendi, Lacoste, L’Oreal, Toshiba czy Uniqlo.


DUCKPORT – nowa odnoga DUCKTAIL


W marcu 2023 roku eksperci z WithSecure Intelligence zaczęli obserwować i śledzić aktywność hakerów wykorzystujących inny infostealer malware o nazwie DUCKPORT. Biorąc pod uwagę podobieństwo w funkcjonalności oraz sposobie dobierania ofiar ataków, został on uznany za odnogę DUCKTAIL. Specjaliści z WithSecure zwracają jednak uwagę, że ze względu na unikalne funkcje obu infostealerów powinny być one traktowane jako dwa oddzielne i równie poważne zagrożenia dla cyberbezpieczeństwa.
DUCKPORT, podobnie jak DUCKTAIL, ma na celu wyłudzanie danych ofiar oraz przejmowanie kont na platformie Meta Business. Mechanizm rozprzestrzeniania zainfekowanego pliku przypominającego projekty, produkty lub oferty pracy najczęściej zaczyna się poprzez wysłanie go przez WhatsApp i LinkedIn. Cyberprzestępcy korzystający z DUCKPORT wabią ofiarę i zachęcają ją do kliknięcia w link lub pobrania plików. Pomocne jest dla nich legalne narzędzie Rebrandly do uwierzytelniania i skracania kodu URL przygotowanych przez siebie fałszywych stron – tłumaczy Mohammad Kazem Hassan Nejad,

Przykładowe fałszywe linki przygotowane z wykorzystaniem Rebrandly:
  • hyundaimotorjob[.]social/HRM
  • nike-agency[.]link/us-job

Kto powinien zachować szczególną ostrożność?


Kody źródłowe DUCKTAIL, jak i DUCKPORT stale ulegają modyfikacjom. Zawarte w nich funkcje są nieustannie dodawane, usuwane, zmieniane lub przywracane, co czyni przeciwdziałanie takim atakom bardzo trudnym. Przewiduje się, że aktywność cyberprzestępców związana z DUCKTAIL i DUCKPORT będzie kontynuowana ze względu na swój potencjał finansowy. Osobom posiadającym dostęp do biznesowych kont w mediach społecznościowych oraz platformach reklamowych radzi się zachowanie szczególnej ostrożności.

O raporcie
„Meet the Ducks” to raport WithSecure koncentrujący się na wielostrumieniowej analizie ataków zwanych DUCKTAIL i DUCKPORT, prowadzonych przez wietnamską grupę cyberprzestępców. Obserwacje wskazują, że w głównej mierze są one wymierzone w użytkowników mediów społecznościowych (Facebook i Meta Business) oraz platform reklamowych.


Przeczytaj także

Skomentuj artykuł Opcja dostępna dla zalogowanych użytkowników - ZALOGUJ SIĘ / ZAREJESTRUJ SIĘ

Komentarze (0)

DODAJ SWÓJ KOMENTARZ

Eksperci egospodarka.pl

1 1 1

Wpisz nazwę miasta, dla którego chcesz znaleźć jednostkę ZUS.

Wzory dokumentów

Bezpłatne wzory dokumentów i formularzy.
Wyszukaj i pobierz za darmo: