Kampanye spear-phishing yang dikenal sebagai "Ducktail" menyebar di LinkedIn dengan menargetkan individu yang mengelola akun Facebook Business. Sebuah infostealer sedang digunakan dalam proses untuk mengakses informasi.
Individu Tertentu Menjadi Target Aktor Jahat
di ekor bebek phising tombak kampanye, penyerang hanya menargetkan individu yang mengelola akun Facebook Business, dan oleh karena itu telah diberikan izin tertentu untuk alat periklanan dan pemasaran perusahaan di Facebook. Mereka yang ditampilkan di LinkedIn memiliki peran dalam pemasaran digital, pemasaran media sosial, periklanan digital, atau sejenisnya, adalah target utama penyerang ini.
Perusahaan keamanan siber WithSecure dilaporkan dalam publikasi baru-baru ini bahwa malware Ducktail adalah yang pertama dari jenisnya, dan diperkirakan dikendalikan oleh operator Vietnam.
Tidak diketahui secara pasti berapa lama kampanye ini telah berlangsung, tetapi telah dipastikan aktif setidaknya selama satu tahun. Namun, Ducktail mungkin telah dibuat dan pertama kali digunakan sebanyak empat tahun yang lalu pada saat penulisan.
Sementara akun LinkedIn tidak secara langsung ditargetkan dalam kampanye ini, platform digunakan sebagai kendaraan untuk mengakses target. Pelaku jahat mencari pengguna dengan peran yang menunjukkan bahwa mereka memiliki akses tingkat tinggi ke alat iklan perusahaan mereka, termasuk akun Facebook Business mereka.
Kemudian, penyerang akan menggunakan rekayasa sosial untuk membujuk korban agar mengunduh file arsip yang berisi malware yang dapat dieksekusi serta beberapa gambar dan file tambahan, yang semuanya di-host oleh berbagai penyedia penyimpanan cloud, seperti Dropbox dan iCloud. Malware Ducktail ditulis dalam .NET Core, kerangka kerja perangkat lunak sumber terbuka. Ini berarti bahwa malware infostealer dapat berjalan di hampir semua perangkat, terlepas dari sistem operasi yang digunakannya.
Malware Ducktail kemudian dapat memindai cookie browser untuk menemukan informasi login yang diperlukan untuk mengakses akun Facebook Business dengan membajak cookie sesi. Dengan meretas akun Facebook Business, informasi sensitif tentang perusahaan, kliennya, dan dinamika periklanan dapat dicuri.
Keuntungan Finansial Adalah Kemungkinan Tujuan dalam Kampanye Ducktail
WithSecure telah menyatakan dalam postingannya tentang Ducktail bahwa tindakan pihak jahat kemungkinan besar "didorong secara finansial". Ketika penyerang mendapatkan kendali penuh atas akun Facebook Business yang ditargetkan, mereka dapat mengedit kartu kredit dan informasi transaksional, dan menggunakan metode pembayaran perusahaan untuk menjalankan iklan mereka sendiri kampanye. Hal ini dapat merugikan perusahaan secara finansial, tetapi perlu beberapa saat untuk menyadarinya, yang memberikan lebih banyak waktu bagi pelaku kejahatan untuk mengeksploitasi korban.
Ducktail Dapat Mengumpulkan Banyak Korban Dalam Waktu Dekat
Karena Ducktail adalah jenis malware yang unik dan menargetkan area yang tidak terpikirkan oleh banyak orang untuk diperiksa, Ducktail dapat digunakan untuk berhasil mengeksploitasi daftar panjang korban dari waktu ke waktu. Meskipun tidak diketahui apakah penyerang telah berhasil menyusup ke akun Facebook Business, ancaman tetap ada.