Nowy wariant Ducktail atakuje konta na Facebooku

Zespół badawczy z Zscaler ThreatLabz poinformował, że odkryto nową wersję złośliwego oprogramowania Ducktail.  Podobnie jak starsze wersje oprogramowania (.NetCore), najnowsza wersja (PHP) również ma na celu eksfiltrację cookies przeglądarki i wykorzystywanie uwierzytelnionych sesji Facebooka w celu pobrania informacji z konta ofiary. Ostatecznie kampania ukierunkowana jest na przejmowanie wszystkich kont Facebook Business,  do których ofiara posiada dostęp.

Kampanie wykorzystujące Ducktail ujawniono w lipcu 2022 r. przez badaczy z WithSecure, którzy powiązali ataki z wietnamskimi hakerami.  Celem ataków byli głównie użytkownicy, którzy mogli dysponować wysokim poziomem uprawnień do konta Facebook Business. Zagrożenie w największym stopniu dotyczyło zatem administratorów stron, czy osób pełniących funkcje kierownicze i odpowiedzialnych za marketing, media i HR. Były to typowe kampanie phishingowe, które opierały się na atakach socjotechnicznych stosowanych za pośrednictwem LinkedIn.

Zscaler zauważył niedawno oznaki nowej aktywności związanej z odświeżoną kampanią Ducktail. Tym razem do kradzieży informacji z systemu Windows wykorzystywany jest skrypt PHP.  Podczas gdy poprzednie wersje oprogramowania używały Telegramu jako kanału dowodzenia i kontroli (C2), nowy wariant nawiązuje połączenia z nowo hostowaną witryną w celu przechowywania danych w formacie JSON.

Większość przynęt stosowanych w nowej wersji kampanii jest związanych z grami, filmami dla dorosłych czy zhakowanymi wersjami aplikacji MS Office.  Są one hostowane w formacie ZIP w legalnych usługach udostępniania plików. W rezultacie instalator aktywuje skrypt PHP,  a ten z kolei uruchamia kod odpowiedzialny za kradzież i eksfiltrację danych z przeglądarek internetowych, portfeli kryptowalut, czy kont Facebook Business.

Przepływ ataku Ducktail (Źródło: Zscaler)

W poprzednich kampaniach przestępcy kierowali swoje działania w pracowników działów finansowych lub marketingowych. Ofiary klasyfikowano pod kątem domniemanego posiadania dostępu do kont reklamowych i biznesowych Facebooka. Celem ataków było przejęcie kontroli zarówno nad tymi kontami, jak i nad przypisanymi do nich danymi finansowymi. Niejednokrotnie przestępcy wykorzystywali przejęte konta do prowadzenia własnych kampanii reklamowych promujących Ducktail wśród większej liczby ofiar.  Najnowsza kampania charakteryzuje się jednak poszerzonym targetowaniem ofiar i w ten sposób obejmuje również zwykłych użytkowników Facebooka.

Hakerzy stojący za stealerem nieustannie wprowadzają modyfikacje i ulepszają metody kradzieży poufnych informacji. Zscaler zaleca ostrożność nie tylko użytkownikom LinkedIn. W przypadku ataków phishingowych podstawą zawsze jest ostrożność przy otwieraniu wszelkich linków i pobieraniu plików.