تقوم حملة التصيد بالرمح المعروفة باسم "Ducktail" بجولات على LinkedIn من خلال استهداف الأفراد الذين يديرون حسابات Facebook Business. يتم استخدام infostealer في عملية الوصول إلى المعلومات.

يتم استهداف أفراد محددين من قبل الفاعل الضار

في ذيل البطة التصيد بالرمح حملة ، المهاجمون يستهدفون فقط الأفراد الذين يديرون حسابات Facebook Business ، و لذلك تم منح أذونات معينة لأدوات التسويق والإعلان الخاصة بالشركة فيسبوك. أولئك الذين يظهرون على LinkedIn للقيام بأدوار في التسويق الرقمي أو التسويق عبر وسائل التواصل الاجتماعي أو الإعلانات الرقمية أو ما شابه ذلك ، هم أهداف رئيسية لهذا المهاجم.

شركة الأمن السيبراني WithSecure ذكرت في منشور حديث أن البرنامج الضار Ducktail هو الأول من نوعه ، ويعتقد أنه يتحكم فيه مشغل فيتنامي.

لا يُعرف بالضبط كم من الوقت استمرت هذه الحملة ، لكن تم تأكيد نشاطها لمدة عام واحد على الأقل. ومع ذلك ، ربما تم إنشاء Ducktail واستخدامه لأول مرة منذ ما يصل إلى أربع سنوات في وقت كتابة هذا التقرير.

بينما لا يتم استهداف حسابات LinkedIn بشكل مباشر في هذه الحملة ، يتم استخدام النظام الأساسي كوسيلة للوصول إلى الأهداف. يبحث الممثل الضار عن المستخدمين الذين لديهم أدوار تشير إلى أن لديهم وصولًا عالي المستوى إلى أدوات الإعلان الخاصة بصاحب العمل ، بما في ذلك حساب Facebook Business الخاص بهم.

instagram viewer

بعد ذلك ، سيستخدم المهاجم الهندسة الاجتماعية لإقناع الضحية بتنزيل ملف أرشيف يحتوي على برنامج ضار قابل للتنفيذ بالإضافة إلى بعض الصور والملفات الإضافية ، والتي تتم استضافتها جميعًا بواسطة مجموعة متنوعة من موفري التخزين السحابي ، مثل Dropbox و iCloud. تمت كتابة البرنامج الضار Ducktail في .NET Core ، وهو إطار عمل برمجي مفتوح المصدر. هذا يعني أنه يمكن تشغيل البرامج الضارة الخاصة ببرنامج Infostealer على أي جهاز تقريبًا ، بغض النظر عن نظام التشغيل الذي يستخدمه.

يمكن لبرنامج Ducktail الضار بعد ذلك البحث عن ملفات تعريف ارتباط المتصفح للعثور على معلومات تسجيل الدخول المطلوبة اللازمة للوصول إلى حساب Facebook Business من خلال اختطاف ملف تعريف ارتباط الجلسة. من خلال اختراق حساب Facebook Business ، يمكن سرقة معلومات حساسة عن الشركة وعملائها وديناميكيات الإعلان.

المكاسب المالية هي الهدف المحتمل في حملة Ducktail

ذكر WithSecure في منشوره حول Ducktail أن أفعال الطرف الخبيث من المحتمل أن تكون "مدفوعة مالياً". عندما يكتسب المهاجم السيطرة الكاملة على حساب Facebook Business المستهدف ، يمكنه تعديل بطاقة الائتمان والمعلومات المتعلقة بالمعاملات ، واستخدام طرق الدفع الخاصة بالشركة لتشغيل إعلاناتهم الخاصة الحملات. قد يكون هذا ضارًا ماليًا للشركة ولكن قد يستغرق بعض الوقت لملاحظة ذلك ، مما يمنح الفاعل الضار مزيدًا من الوقت لاستغلال الضحية.

قد تتراكم ذيل البطة العديد من الضحايا في المستقبل القريب

نظرًا لأن Ducktail هو نوع فريد من نوعه من البرامج الضارة ويستهدف منطقة لا يفكر العديد من الأفراد في التحقق منها ، فيمكن استخدامه لاستغلال قائمة طويلة من الضحايا بنجاح بمرور الوقت. على الرغم من أنه من غير المعروف ما إذا كان المهاجم قد تسلل بنجاح إلى أي حسابات Facebook Business ، إلا أن التهديد لا يزال قائماً.