Operasi Malware Ducktail Berkembang dengan Kemampuan Berbahaya Baru

  • Whatsapp
Ducktail Malware
Operasi Malware Ducktail Berkembang dengan Kemampuan Berbahaya Baru

News.nextcloud.asia –

Malware Ducktail

Operator pencuri informasi Ducktail telah menunjukkan “kesediaan tanpa henti untuk bertahan” dan terus memperbarui malware mereka sebagai bagian dari kampanye yang digerakkan secara finansial.

“Malware ini dirancang untuk mencuri cookie browser dan memanfaatkan sesi Facebook yang diautentikasi untuk mencuri informasi dari akun Facebook korban,” peneliti WithSecure Mohammad Kazem Hassan Nejad dikatakan dalam analisis baru.

“Operasi tersebut pada akhirnya membajak akun Facebook Business yang aksesnya cukup memadai kepada korban. Pelaku ancaman menggunakan akses yang mereka peroleh untuk menjalankan iklan demi keuntungan uang.”

Dikaitkan dengan aktor ancaman Vietnam, kampanye Ducktail dirancang untuk menargetkan bisnis di sektor pemasaran dan periklanan digital yang aktif di platform Iklan Facebook dan Bisnis.

Yang juga ditargetkan adalah individu dalam calon perusahaan yang cenderung memiliki akses tingkat tinggi ke akun Facebook Business. Ini termasuk pemasaran, media, dan personel sumber daya manusia.

Aktivitas jahat tersebut pertama kali didokumentasikan oleh perusahaan keamanan siber Finlandia pada Juli 2022. Operasi tersebut diyakini berlangsung sejak paruh kedua tahun 2021, meskipun bukti menunjukkan pelaku ancaman aktif sejak akhir 2018.

Malware Ducktail

Analisis selanjutnya oleh Zscaler ThreatLabz bulan lalu menemukan versi PHP dari malware yang didistribusikan sebagai penginstal untuk perangkat lunak yang telah diretas. WithSecure, bagaimanapun, mengatakan bahwa aktivitas tersebut tidak ada hubungannya dengan kampanye yang dilacaknya di bawah nama Ducktail.

Iterasi terbaru dari malware, yang muncul kembali pada 6 September 2022, setelah pelaku ancaman terpaksa menghentikan operasinya pada 12 Agustus sebagai tanggapan atas pengungkapan publik, hadir dengan sejumlah peningkatan yang digabungkan untuk menghindari deteksi.

Rantai infeksi sekarang dimulai dengan pengiriman file arsip yang berisi dokumen spreadsheet yang dihosting di Apple iCloud dan Discord melalui platform seperti LinkedIn dan WhatsApp, yang menunjukkan diversifikasi taktik spear-phishing aktor ancaman.

Informasi akun Facebook Business yang dikumpulkan oleh malware, yang ditandatangani menggunakan sertifikat digital yang diperoleh dengan kedok tujuh bisnis berbeda yang tidak ada, diekstraksi menggunakan Telegram.

“Pergeseran menarik yang diamati dengan kampanye terbaru adalah itu [the Telegram command-and-control] saluran sekarang menyertakan beberapa akun administrator, yang menunjukkan bahwa musuh mungkin menjalankan program afiliasi,” jelas Nejad.

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *