WithSecure – ehemals F-Secure Business – hat eine neue Infostealer-Malware aufgespürt: DUCKTAIL. Die Malware wird via LinkedIn-Spearphishing ausgeliefert und zielt anschließend auf Facebook-Business-Accounts.
DUCKTAIL nimmt Fachleute über LinkedIn-Spear-Phishing-Kampagnen ins Visier, um Facebook-Geschäftskonten zu kapern. Sicherheitsforscher von WithSecure™ (ehemals F-Secure Business) haben eine Angriffskampagne mit dem Namen DUCKTAIL entdeckt, die auf Einzelpersonen sowie Unternehmen mit einem Business- bzw. Ads-Account auf Facebook abzielt. Die Kampagne besteht aus einer Malware-Komponente, die den Diebstahl von Informationen und das Hijacking von Facebook Business ermöglicht. Auf der Grundlage von Analysen und gesammelten Daten hat WithSecure™ festgestellt, dass die Kampagne von einem vietnamesischen Bedrohungsakteur durchgeführt wird.
DUCKTAIL kommt wohl aus Vietnam
WithSecure™ entdeckte die zunächst unbekannte Malware Anfang des Jahres und begann mit der Analyse. Dabei stellte sich heraus, dass der Bedrohungsakteur seit der zweiten Jahreshälfte 2021 aktiv Malware entwickelt und verbreitet hat, die mit der DUCKTAIL-Kampagne in Verbindung steht. Beweise deuten darauf hin, dass der Bedrohungsakteur bereits Ende 2018 in der Cyberkriminalität aktiv gewesen sein könnte und die Malware seitdem immer wieder aktualisiert und verbreitet hat, um ihre Fähigkeit zur Umgehung bestehender oder neuer Facebook-Sicherheitsfunktionen sowie anderer implementierter Funktionen zu verbessern. Die Analyse hat weiter ergeben, dass dessen Motive finanzieller Natur sind.
Ziel: Facebook Business-Konten
Bei den Kampagnen von DUCKTAIL kommt eine Komponente der Infostealer-Malware zum Einsatz, die speziell für die Entführung von Facebook Business-Konten entwickelt wurde. Dies ist der erste Fall einer solchen Funktionalität, der WithSecure™ bekannt ist. Dadurch unterscheidet sich DUCKTAIL von früheren auf Facebook ausgerichteten Malware-Kampagnen. Die Malware ist darauf ausgelegt, Browser-Cookies zu stehlen und authentifizierte Facebook-Sitzungen auszunutzen, um Informationen aus dem Facebook-Konto des Opfers zu stehlen und schließlich jedes Facebook Business-Konto zu kapern, auf das das Opfer ausreichend Zugriff hat.
WithSecure™ hat herausgefunden, dass DUCKTAIL seine Ziele über LinkedIn auskundschaftet und Personen phisht, die wahrscheinlich über einen Admin-Zugang zu einem Facebook Business-Konto verfügen.
Sorgfältig ausgewählte Ziele
🔎 So greift DUCKTAIL an (Bild: WithSecure).
„Wir glauben, dass die Betrüger sorgfältig eine kleine Anzahl von Zielen auswählen, um ihre Erfolgschancen zu erhöhen und um unbemerkt zu bleiben. Grund für die Annahme ist, dass Personen in leitenden Positionen, im digitalen Marketing, in den digitalen Medien und in der Personalabteilung von Unternehmen ins Visier genommen wurden“, sagt Mohammad Kazem Hassan Nejad, Researcher bei WithSecure™ Intelligence, der Spezialabteilung für Threat Intelligence von WithSecure™.
Die Popularität von sozialen Netzwerken und Medienplattformen nimmt weiter zu. Leider verleitet dies Cyberkriminelle dazu, diese Plattformen für ihre eigenen Zwecke zu missbrauchen, z. B. für die Verbreitung von Malware, Diebstahl, Desinformationskampagnen und Betrug. Malware, die auf soziale Plattformen wie Facebook abzielt, war bisher aufgrund der von den Plattformen implementierten Sicherheitsmechanismen relativ selten. Die große Reichweite und Nutzerbasis machen sie jedoch zu einem interessanten Angriffsvektor für Bedrohungsakteure.
Mehr bei WithSecure.com
Über WithSecure WithSecure, ehemals F-Secure Business, ist der zuverlässige Partner für Cybersicherheit. IT-Dienstleister, Managed Security Services Provider und andere Unternehmen vertrauen WithSecure – wie auch große Finanzinstitute, Industrieunternehmen und führende Kommunikations- und Technologieanbieter. Mit seinem ergebnisorientierten Ansatz der Cybersicherheit hilft der finnische Sicherheitsanbieter Unternehmen dabei, die Sicherheit in Relation zu den Betriebsabläufen zu setzen und Prozesse zu sichern sowie Betriebsunterbrechungen vorzubeugen.