DUCKTAIL Шкідливе програмне забезпечення

Кіберзлочинці використовують спеціально створене зловмисне програмне забезпечення, яке відстежується як зловмисне програмне забезпечення DUCKTAIL, щоб скомпрометувати облікові записи Facebook Business своїх жертв і отримати їх. Вважається, що загроза є частиною загрозливого арсеналу в’єтнамської хакерської групи, і, згідно зі звітом дослідників WithSecure Intelligence, вона, ймовірно, використовувалася в атаках з 2021 року.

Слід зазначити, що атаки за участю DUCKTAIL були цілеспрямованими, вибраною ціллю були високопоставлені особи або зацікавлені особи. Компрометуючи вибрані цілі, зловмисники можуть отримати доступ і отримати контроль над певною бізнес-сторінкою Facebook. Експерти відзначають, що DUCKTAIL продовжує розвиватися, а хакери додають нові можливості та методи для уникнення безпеки Facebook.

Після виконання на комп’ютері жертви DUCKTAIL починає перевіряти наявність певних веб-браузерів — Chrome, Firefox, Edge і Brave. Далі загроза спробує визначити необхідні шляхи файлів cookie та вилучити будь-які, пов’язані з Facebook. Загроза перевіряє, чи активна 2FA (двофакторна автентифікація), і за потреби намагатиметься отримати коди відновлення. Окрім файлів cookie, DUCKTAIL також може отримувати агенти користувача, геолокації, коди 2FA, токени тощо.

Після зламу відповідного облікового запису Facebook загроза збирає всі типи даних, включаючи імена, номери підключених облікових записів, витрати на рекламу, платіжні цикли, дозволи облікових записів реклами, користувачів, власників, ролі учасників, дані клієнтів, пов’язані електронні листи, підтвердження статуси та інше. Жертви DUCKTAIL можуть зіткнутися з критичними проблемами конфіденційності, фінансовими втратами та шахрайством.