DUCKTAIL-malware

Cybercriminelen gebruiken een speciaal ontworpen malwarebedreiging die wordt gevolgd als de DUCKTAIL-malware om de Facebook Business-accounts van hun slachtoffers te compromitteren en te verzamelen. De dreiging wordt verondersteld deel uit te maken van het dreigende arsenaal van een Vietnamese hackergroep en wordt volgens een rapport van de onderzoekers van WithSecure Intelligence waarschijnlijk sinds 2021 gebruikt bij aanvalsoperaties.

Opgemerkt moet worden dat de aanvallen waarbij DUCKTAIL betrokken was zeer gericht waren, waarbij het gekozen doelwit hooggeplaatste personen of interessante personen waren. Door de gekozen doelen in gevaar te brengen, kunnen de aanvallers toegang krijgen tot en controle krijgen over een specifieke Facebook-bedrijfspagina. Experts wijzen erop dat DUCKTAIL blijft evolueren met de hackers die nieuwe mogelijkheden en methoden toevoegen om de beveiliging van Facebook te omzeilen.

Zodra het is uitgevoerd op de computer van het slachtoffer, begint DUCKTAIL met het controleren op de aanwezigheid van specifieke webbrowsers - Chrome, Firefox, Edge en Brave. Vervolgens zal de dreiging proberen de benodigde cookiepaden te identificeren en alle met Facebook gerelateerde eruit te halen. De dreiging onderzoekt of 2FA (tweefactorauthenticatie) actief is en zal indien nodig proberen de herstelcodes te verkrijgen. Naast cookies kan DUCKTAIL ook user agents, geolocaties, de 2FA-codes, tokens en meer extraheren.

Zodra het een relevant Facebook-account heeft gecompromitteerd, verzamelt de dreiging alle soorten gegevens, inclusief namen, gekoppelde accountnummers, advertentie-uitgaven, betalingscycli, advertentieaccountrechten, hangende gebruikers, de eigenaren, ledenrollen, klantgegevens, gekoppelde e-mails, verificatie statussen en meer. Slachtoffers van DUCKTAIL kunnen te maken krijgen met kritieke privacyproblemen, financiële verliezen en fraude.