Chiến dịch lừa đảo “Ducktail” mới nhắm mục tiêu đến các tài khoản doanh nghiệp trên Facebook thông qua LinkedIn
Các nhân viên quản lý tài khoản Facebook Business hiện đang bị nhắm mục tiêu thông qua LinkedIn trong một chiến dịch lừa đảo mang tên “Ducktail”.
Một chiến dịch lừa đảo trực tuyến được gọi là “Ducktail” đang gây sốt trên LinkedIn bằng cách nhắm mục tiêu vào các cá nhân quản lý tài khoản Facebook Business. Một kẻ giả mạo đang được sử dụng trong quá trình này để truy cập thông tin.
Mục Lục
Các cá nhân cụ thể đang được nhắm mục tiêu bởi tác nhân độc hại
Trong chiến dịch lừa đảo trực tuyến của Ducktail, những kẻ tấn công chỉ nhắm mục tiêu vào các cá nhân quản lý tài khoản Facebook Business và do đó đã được cấp một số quyền nhất định đối với các công cụ quảng cáo và tiếp thị của công ty trên Facebook. Những người được hiển thị trên LinkedIn có vai trò trong tiếp thị kỹ thuật số, tiếp thị truyền thông xã hội, quảng cáo kỹ thuật số hoặc tương tự, là mục tiêu chính của kẻ tấn công này.
Công ty an ninh mạng WithSecure đã báo cáo trong một ấn phẩm gần đây rằng phần mềm độc hại Ducktail là phần mềm độc hại đầu tiên thuộc loại này và được cho là do một nhà mạng Việt Nam kiểm soát.
Không biết chính xác chiến dịch này đã diễn ra trong bao lâu, nhưng nó đã được xác nhận là hoạt động trong ít nhất một năm. Tuy nhiên, Ducktail có thể đã được tạo ra và sử dụng lần đầu tiên cách đây 4 năm vào thời điểm viết bài.
LinkedIn được sử dụng như một phương tiện xâm nhập trong quá trình lừa đảo
Mặc dù các tài khoản LinkedIn không được nhắm mục tiêu trực tiếp trong chiến dịch này, nhưng nền tảng này đang được sử dụng như một phương tiện để tiếp cận các mục tiêu. Kẻ độc hại tìm kiếm những người dùng có vai trò cho thấy họ có quyền truy cập cấp cao vào các công cụ quảng cáo của chủ nhân, bao gồm cả tài khoản Facebook Business của họ.
Sau đó, kẻ tấn công sẽ sử dụng kỹ thuật xã hội để thuyết phục nạn nhân tải xuống tệp lưu trữ có chứa phần mềm độc hại thực thi cũng như một số hình ảnh và tệp bổ sung, tất cả đều được lưu trữ bởi nhiều nhà cung cấp dịch vụ lưu trữ đám mây, như Dropbox và iCloud. Phần mềm độc hại Ducktail được viết bằng .NET Core, một khung phần mềm mã nguồn mở. Điều này có nghĩa là phần mềm độc hại giả mạo có thể chạy trên hầu hết mọi thiết bị, bất kể hệ điều hành mà nó sử dụng.
Phần mềm độc hại Ducktail sau đó có thể quét cookie của trình duyệt để tìm thông tin đăng nhập bắt buộc cần thiết để truy cập tài khoản Facebook Business bằng cách chiếm quyền điều khiển cookie phiên. Bằng cách hack tài khoản Facebook Business, thông tin nhạy cảm về công ty, khách hàng và động lực quảng cáo có thể bị đánh cắp.
Lợi nhuận tài chính là Mục tiêu Khả thi trong Chiến dịch Đuôi vịt
WithSecure đã tuyên bố trong bài đăng của mình về Ducktail rằng các hành động của bên độc hại có khả năng “thúc đẩy tài chính”. Khi kẻ tấn công giành được toàn quyền kiểm soát tài khoản Facebook Business được nhắm mục tiêu, chúng có thể chỉnh sửa thông tin thẻ tín dụng và giao dịch, đồng thời sử dụng các phương thức thanh toán của công ty để chạy các chiến dịch quảng cáo của riêng chúng. Điều này có thể gây thiệt hại về mặt tài chính cho công ty nhưng có thể mất một thời gian để nhận thấy, điều này cho phép kẻ độc hại có thêm thời gian để khai thác nạn nhân.
Đuôi vịt có thể gây ra nhiều nạn nhân trong tương lai gần
Vì Ducktail là một loại phần mềm độc hại độc nhất vô nhị và nhắm vào một khu vực mà nhiều người không nghĩ là có thể kiểm tra, nó có thể được sử dụng để khai thác thành công một danh sách dài nạn nhân theo thời gian. Mặc dù không biết liệu kẻ tấn công có xâm nhập thành công bất kỳ tài khoản Facebook Business nào hay không, nhưng mối đe dọa vẫn còn.