Ducktail Kötü Amaçlı Yazılım Moda Endüstrisini Hedefliyor - Dünyadan Güncel Teknoloji Haberleri

Ducktail Kötü Amaçlı Yazılım Moda Endüstrisini Hedefliyor - Dünyadan Güncel Teknoloji Haberleri

Eş zamanlı olarak saldırı, yanıltıcı tarayıcı uzantısı dosyalarını bir Google Chrome dizinine kaydediyor ve kendisini Google Dokümanlar Çevrimdışı uzantısı olarak gösteriyor

Tehdit aktörleri, programlama dili olarak Delphi’yi kullanarak alışılagelmiş ]Vietnam’dan canlı servis ps1) ve sahte bir PDF dosyasını cihazın genel dizinine kaydeder

Siber güvenlik araştırmacıları yakın zamanda kötü şöhretli DarkGate uzaktan erişim Truva Atı (RAT) ile Ördek Kuyruğu arasında yem dosyaları, hedefleme kalıpları ve dağıtım yöntemleri gibi teknik olmayan işaretleyicilerden belirlenen bir bağlantıyı ortaya çıkardı

Menlo Security tehdit istihbaratı analisti Amelia Buck şöyle açıklıyor: “İzlemeyi geliştirmek için kuruluşlar, kötü niyetli aktiviteyi gösteren anormallikleri tespit etmek amacıyla daha fazla davranış temelli analiz ve buluşsal izleme kullanmalıdır

Ducktail grubu, önceki kampanyalarda olduğu gibi hedef odaklı kimlik avı hedefleri için bir yol olarak LinkedIn’i kullanmanın yanı sıra, kullanıcıları hedeflemek için artık WhatsApp’ı kullanmaya başladı min

Ducktail Kötü Amaçlı Yazılım Bulaşma Rutininin İçinde

Kurban kötü amaçlı dosyayı açtığında, bir PowerShell betiğini (param

Ördek Kuyruğu Siber Saldırılarına Karşı Nasıl Korunulur?

Ducktail kötü amaçlı yazılım kampanyasının Delphi programlama dilini kullanması, dilin alışılmadık imza tabanlı antivirüs korumalarının bu tehdidi gözden kaçırabilmesi nedeniyle güvenlik ekipleri için tespit zorlukları yaratıyor ”

Tarayıcı uzantısı bileşeninin aynı zamanda korumaları da garanti ettiğini ekliyor ve tüm personelin sosyal medya ve hassas bilgiler içeren diğer hesaplar için çok faktörlü kimlik doğrulamayı etkinleştirmesini öneriyor

Ducktail’in arkasındaki Vietnam merkezli mali siber suç operasyonu, saldırı stratejilerinde sürekli olarak uyarlanabilirlik sergiledi 3 [

Eğitimin personele, dışarıdan gönderenlerden gelen istenmeyen dosyalara karşı şüpheci olmalarını, makroları etkinleştirmekten kaçınmalarını ve beklenmedik ekleri açmadan önce dahili onay yoluyla doğrulamalarını tavsiye etmesi gerektiğine dikkat çekiyor Kötü amaçlı yazılım, uzantıyı barındırma yolunu değiştirebilir

Varsayılan PDF görüntüleyici tarafından tetiklenen komut dosyası, sahte PDF’yi açar, duraklatır ve ardından Chrome tarayıcısını kapatır

Ördek Kuyruğu’nun Kalıcı Tehdidi

Ducktail, en az Mayıs 2021’den beri aktif ve Amerika Birleşik Devletleri’nde ve üç düzineden fazla ülkede Facebook işletme hesabı olan kullanıcıları etkiledi ”

Özellikle pazarlama ekiplerinin, kendilerini yanıltmayı amaçlayan özel saldırılar göz önüne alındığında, sosyal mühendisliği tespit edecek şekilde eğitilmesi gerektiğini söylüyor

Bu kampanyada, önceki saldırılardan kalma çekirdek komut dosyasının bozuk bir sürümü olan ek bir komut dosyası (jquery-3

Gizlenen çekirdek komut dosyası, açık tarayıcı sekmelerinin ayrıntılarını sürekli olarak bir komut ve kontrol (C2) sunucusuna gönderir



Ducktail, tehdit aktörlerinin tanınmış şirketlerin orijinal ürünlerinin resimlerini içeren arşivlerin yanı sıra PDF dosyası olarak kamufle edilmiş kötü amaçlı bir yürütülebilir dosyanın da gönderildiği son kampanyasıyla moda endüstrisindeki pazarlama profesyonellerini hedef alıyor ”

Bir parola yöneticisinin sağlanması, ele geçirilen hesaplarda parolanın yeniden kullanılmasına karşı hesap güvenliğini de güçlendirecektir

Facebook ile ilgili URL’ler tespit edilirse uzantı, reklamları ve işletme hesaplarını çalmaya, çerezleri ve hesap ayrıntılarını çıkarmaya çalışır “Ayrıca üçüncü taraf uzantılara kimlik bilgileri girmekten kaçınmalı, onaylanmamış tarayıcı uzantısı yüklemelerine dikkat etmeli ve iş kimlik bilgilerini kişisel gezinme için kullanmaktan kaçınmalıdırlar

Buck, “Sosyal mühendislik taktikleri açısından, tanınmış moda markalarının ürünlerinin meşru görünen görüntü dosyaları, virüslü PDF’leri teslim etmeden önce güven oluşturuyor” diye belirtiyor

“Alaka düzeyi aldatma konusunda güvenilirlik oluşturduğundan, işle ilgili içerik söz konusu olduğunda bile dikkatli olunmalıdır” diye açıklıyor “Çalışanlar ayrıca sitenin yasal olduğunu varsaymak yerine gönderen adreslerini sahtecilik açısından incelemelidir Çalınan kimlik bilgileri Vietnam merkezli bir C2’ye gönderilir 1

“Ancak buna güvenilmemelidir” diye açıklıyor

Kötü amaçlı yazılımın amacı, muhtemelen çalınan kimlik bilgilerini satma niyetiyle Facebook ticari ve reklam hesaplarını çalma konusunda usta bir tarayıcı uzantısı yüklemektir NET uygulama yaklaşımlarından farklı bir yaklaşım benimsediler



siber-1

Raporda, bu stratejik değişimin, Ducktail’in belirli profesyonel demografik özelliklerden yararlanmak için tasarlanmış saldırı tekniklerinde gelişen bir karmaşıklığa işaret ettiği belirtildi js) uzantı klasörüne kaydedilir

Bir göre rapor Kaspersky’nin sunduğu kötü amaçlı yazılım, yürütüldükten sonra, aktif olarak kariyer değişiklikleri arayan pazarlama profesyonellerine hitap edecek şekilde tasarlanmış saldırıyla birlikte, iş bilgilerinin ayrıntılarını içeren gerçek bir gömülü PDF’yi açıyor

Uzantı, iki faktörlü kimlik doğrulamayı (2FA) atlamak için Facebook API isteklerini ve 2fa’yı kullanır