DUCKTAIL Malware

Cyberkriminelle bruger en specielt udformet malwaretrussel, der spores som DUCKTAIL Malware til at kompromittere og indsamle Facebook Business-konti for deres ofre. Truslen menes at være en del af det truende arsenal af en vietnamesisk hackergruppe, og ifølge en rapport fra forskerne hos WithSecure Intelligence er den sandsynligvis blevet brugt i angrebsoperationer siden 2021.

Det skal påpeges, at angrebene med DUCKTAIL har været meget fokuserede, hvor det valgte mål er højtstående personer eller personer af interesse. Ved at kompromittere de valgte mål kan angriberne få adgang og overtage kontrol over en specifik Facebook-virksomhedsside. Eksperter påpeger, at DUCKTAIL fortsætter med at udvikle sig, idet hackerne tilføjer nye evner og metoder til at undgå Facebooks sikkerhed.

Når det er blevet udført på offerets maskine, starter DUCKTAIL med at tjekke for tilstedeværelsen af specifikke webbrowsere - Chrome, Firefox, Edge og Brave. Dernæst vil truslen forsøge at identificere de nødvendige cookie-stier og udtrække enhver relateret til Facebook. Truslen undersøger, om 2FA (to-faktor-godkendelse) er aktiv og vil forsøge at hente gendannelseskoderne, hvis det er nødvendigt. Udover cookies kan DUCKTAIL også udtrække brugeragenter, geolokationer, 2FA-koderne, tokens og mere.

Når den først har kompromitteret en relevant Facebook-konto, vil truslen indsamle alle datatyper, inklusive navne, forbundne kontonumre, annonceudgifter, betalingscyklusser, tilladelser til annoncekontoer, afventende brugere, ejerne, medlemsroller, klientdata, linkede e-mails, verifikation status og mere. Ofre for DUCKTAIL kan opleve kritiske privatlivsproblemer, økonomiske tab og svindel.