WithSecure – ehemals F-Secure Business – hat eine neue Infostealer-Malware aufgespürt: DUCKTAIL. Die Malware wird via LinkedIn-Spearphishing ausgeliefert und zielt anschließend auf Facebook-Business-Accounts.
DUCKTAIL nimmt Fachleute über LinkedIn-Spear-Phishing-Kampagnen ins Visier, um Facebook-Geschäftskonten zu kapern. Sicherheitsforscher von WithSecure™ (ehemals F-Secure Business) haben eine Angriffskampagne mit dem Namen DUCKTAIL entdeckt, die auf Einzelpersonen sowie Unternehmen mit einem Business- bzw. Ads-Account auf Facebook abzielt. Die Kampagne besteht aus einer Malware-Komponente, die den Diebstahl von Informationen und das Hijacking von Facebook Business ermöglicht. Auf der Grundlage von Analysen und gesammelten Daten hat WithSecure™ festgestellt, dass die Kampagne von einem vietnamesischen Bedrohungsakteur durchgeführt wird.
Anzeige
DUCKTAIL kommt wohl aus Vietnam
WithSecure™ entdeckte die zunächst unbekannte Malware Anfang des Jahres und begann mit der Analyse. Dabei stellte sich heraus, dass der Bedrohungsakteur seit der zweiten Jahreshälfte 2021 aktiv Malware entwickelt und verbreitet hat, die mit der DUCKTAIL-Kampagne in Verbindung steht. Beweise deuten darauf hin, dass der Bedrohungsakteur bereits Ende 2018 in der Cyberkriminalität aktiv gewesen sein könnte und die Malware seitdem immer wieder aktualisiert und verbreitet hat, um ihre Fähigkeit zur Umgehung bestehender oder neuer Facebook-Sicherheitsfunktionen sowie anderer implementierter Funktionen zu verbessern. Die Analyse hat weiter ergeben, dass dessen Motive finanzieller Natur sind.
Ziel: Facebook Business-Konten
Bei den Kampagnen von DUCKTAIL kommt eine Komponente der Infostealer-Malware zum Einsatz, die speziell für die Entführung von Facebook Business-Konten entwickelt wurde. Dies ist der erste Fall einer solchen Funktionalität, der WithSecure™ bekannt ist. Dadurch unterscheidet sich DUCKTAIL von früheren auf Facebook ausgerichteten Malware-Kampagnen. Die Malware ist darauf ausgelegt, Browser-Cookies zu stehlen und authentifizierte Facebook-Sitzungen auszunutzen, um Informationen aus dem Facebook-Konto des Opfers zu stehlen und schließlich jedes Facebook Business-Konto zu kapern, auf das das Opfer ausreichend Zugriff hat.
Anzeige
Jetzt Newsletter abonnieren
Einmal im Monat die besten News von B2B CYBER SECURITY lesen
Aufklappen für Details zu Ihrer Einwilligung
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Sie können jederzeit den Newsletter wieder abbestellen. Einen entsprechenden Link finden Sie im Newsletter. Nach einer Abmeldung werden Ihre Daten in kürzester Zeit gelöscht. Eine Wiederherstellung ist nicht möglich. Falls Sie den Newsletter erneut haben möchten, ordern sie diesen einfach neu. Verfahren Sie auch so, wenn Sie eine andere E-Mail-Adresse für Ihren Newsletter nutzen möchten.
Wenn Sie den auf der Website angebotenen Newsletter beziehen möchten, benötigen wir von Ihnen eine E-Mail-Adresse sowie Informationen, welche uns die Überprüfung gestatten, dass Sie der Inhaber der angegebenen E-Mail-Adresse und mit dem Empfang des Newsletters einverstanden sind. Weitere Daten werden nicht bzw. nur auf freiwilliger Basis erhoben. Für die Abwicklung der Newsletter nutzen wir Newsletterdiensteanbieter, die nachfolgend beschrieben werden.
CleverReach
Diese Website nutzt CleverReach für den Versand von Newslettern. Anbieter ist die CleverReach GmbH & Co. KG, Schafjückenweg 2, 26180 Rastede, Deutschland (nachfolgend „CleverReach“). CleverReach ist ein Dienst, mit dem der Newsletterversand organisiert und analysiert werden kann. Die von Ihnen zwecks Newsletterbezug eingegebenen Daten (z. B. E-Mail-Adresse) werden auf den Servern von CleverReach in Deutschland bzw. Irland gespeichert.
Unsere mit CleverReach versandten Newsletter ermöglichen uns die Analyse des Verhaltens der Newsletterempfänger. Hierbei kann u. a. analysiert werden, wie viele Empfänger die Newsletternachricht geöffnet haben und wie oft welcher Link im Newsletter angeklickt wurde. Mit Hilfe des sogenannten Conversion-Trackings kann außerdem analysiert werden, ob nach Anklicken des Links im Newsletter eine vorab definierte Aktion (z. B. Kauf eines Produkts auf dieser Website) erfolgt ist. Weitere Informationen zur Datenanalyse durch CleverReach-Newsletter erhalten Sie unter: https://www.cleverreach.com/de/funktionen/reporting-und-tracking/.
Die Datenverarbeitung erfolgt auf Grundlage Ihrer Einwilligung (Art. 6 Abs. 1 lit. a DSGVO). Sie können diese Einwilligung jederzeit widerrufen, indem Sie den Newsletter abbestellen. Die Rechtmäßigkeit der bereits erfolgten Datenverarbeitungsvorgänge bleibt vom Widerruf unberührt.
Wenn Sie keine Analyse durch CleverReach wollen, müssen Sie den Newsletter abbestellen. Hierfür stellen wir in jeder Newsletternachricht einen entsprechenden Link zur Verfügung.
Die von Ihnen zum Zwecke des Newsletter-Bezugs bei uns hinterlegten Daten werden von uns bis zu Ihrer Austragung aus dem Newsletter bei uns bzw. dem Newsletterdiensteanbieter gespeichert und nach der Abbestellung des Newsletters aus der Newsletterverteilerliste gelöscht. Daten, die zu anderen Zwecken bei uns gespeichert wurden, bleiben hiervon unberührt.
Nach Ihrer Austragung aus der Newsletterverteilerliste wird Ihre E-Mail-Adresse bei uns bzw. dem Newsletterdiensteanbieter ggf. in einer Blacklist gespeichert, sofern dies zur Verhinderung künftiger Mailings erforderlich ist. Die Daten aus der Blacklist werden nur für diesen Zweck verwendet und nicht mit anderen Daten zusammengeführt. Dies dient sowohl Ihrem Interesse als auch unserem Interesse an der Einhaltung der gesetzlichen Vorgaben beim Versand von Newslettern (berechtigtes Interesse im Sinne des Art. 6 Abs. 1 lit. f DSGVO). Die Speicherung in der Blacklist ist zeitlich nicht befristet. Sie können der Speicherung widersprechen, sofern Ihre Interessen unser berechtigtes Interesse überwiegen.
Näheres entnehmen Sie den Datenschutzbestimmungen von CleverReach unter: https://www.cleverreach.com/de/datenschutz/.
Auftragsverarbeitung
Wir haben einen Vertrag über Auftragsverarbeitung (AVV) zur Nutzung des oben genannten Dienstes geschlossen. Hierbei handelt es sich um einen datenschutzrechtlich vorgeschriebenen Vertrag, der gewährleistet, dass dieser die personenbezogenen Daten unserer Websitebesucher nur nach unseren Weisungen und unter Einhaltung der DSGVO verarbeitet.
WithSecure™ hat herausgefunden, dass DUCKTAIL seine Ziele über LinkedIn auskundschaftet und Personen phisht, die wahrscheinlich über einen Admin-Zugang zu einem Facebook Business-Konto verfügen.
Sorgfältig ausgewählte Ziele
🔎 So greift DUCKTAIL an (Bild: WithSecure).
„Wir glauben, dass die Betrüger sorgfältig eine kleine Anzahl von Zielen auswählen, um ihre Erfolgschancen zu erhöhen und um unbemerkt zu bleiben. Grund für die Annahme ist, dass Personen in leitenden Positionen, im digitalen Marketing, in den digitalen Medien und in der Personalabteilung von Unternehmen ins Visier genommen wurden“, sagt Mohammad Kazem Hassan Nejad, Researcher bei WithSecure™ Intelligence, der Spezialabteilung für Threat Intelligence von WithSecure™.
Die Popularität von sozialen Netzwerken und Medienplattformen nimmt weiter zu. Leider verleitet dies Cyberkriminelle dazu, diese Plattformen für ihre eigenen Zwecke zu missbrauchen, z. B. für die Verbreitung von Malware, Diebstahl, Desinformationskampagnen und Betrug. Malware, die auf soziale Plattformen wie Facebook abzielt, war bisher aufgrund der von den Plattformen implementierten Sicherheitsmechanismen relativ selten. Die große Reichweite und Nutzerbasis machen sie jedoch zu einem interessanten Angriffsvektor für Bedrohungsakteure.
Über WithSecure
WithSecure, ehemals F-Secure Business, ist der zuverlässige Partner für Cybersicherheit. IT-Dienstleister, Managed Security Services Provider und andere Unternehmen vertrauen WithSecure – wie auch große Finanzinstitute, Industrieunternehmen und führende Kommunikations- und Technologieanbieter. Mit seinem ergebnisorientierten Ansatz der Cybersicherheit hilft der finnische Sicherheitsanbieter Unternehmen dabei, die Sicherheit in Relation zu den Betriebsabläufen zu setzen und Prozesse zu sichern sowie Betriebsunterbrechungen vorzubeugen.
Neue Managementlösung für Sicherheits-Passkeys unterstützt Organisationen bei der sicheren Authentifizierung. Sie bietet der IT vollständige Kontrolle über den gesamten Lebenszyklus ➡ Weiterlesen
Die Zahl der gemeldeten Sicherheitslücken ist 2024 um 38 Prozent gestiegen. Mit der steigenden Abhängigkeit von Software-Systemen vergrößert sich auch ➡ Weiterlesen
Der Digital Operational Resilience Act (DORA) wurde verabschiedet, um den zunehmenden Cyberbedrohungen in in der Finanzbranche zu begegnen und die ➡ Weiterlesen
Während andere EU-Staaten längst klare Vorgaben für NIS-2 geschaffen haben, ist die Umsetzung in Deutschland vorerst gescheitert. Das bedeutet: Teile ➡ Weiterlesen
Weiterentwickelte Ransomware, Cloud-Angriffe und KI-basierter Cyber-Warfare bedrohen 2025 die Cybersicherheit von Unternehmen. Am häufigsten werden bösartige Dateien durch Phishing verbreitet. ➡ Weiterlesen
Die Umsetzung nationaler und europäischer Richtlinien zur Cybersicherheit kann für Unternehmen belastend sein und dadurch die Compliance beeinträchtigen. Dabei soll ➡ Weiterlesen
Der Hersteller einer KI-gestützte Observability-Plattform kündigte eine Erweiterung seiner KI-Engine Davis AI an, die Unternehmen über reaktive AIOps hinaus zu ➡ Weiterlesen
Im letzten Jahr waren sämtliche Branchen von SaaS-Verletzungen betroffen. Insgesamt hat sich die Zahl der Angriffe um 300 Prozent erhöht. ➡ Weiterlesen
