Kako malver Ducktail krade Facebook naloge

Opisi virusa, 23.11.2023, 12:00 PM

Kako malver Ducktail krade Facebook naloge

Istraživači kompanije Kaspersky otkrili su novu verziju malvera Ducktail koju sajber kriminalci koriste za napade na zaposlene u kompanijama koji su na visokim pozicijama ili rade u HR, digitalnom marketingu ili marketingu na društvenim mrežama. Krajnji cilj nadača je da otmu Facebook Business naloge, tako da ima smisla to što su napadači zainteresovani za ljude koji najverovatnije imaju pristup takvim nalozima.

Sajber kriminalci koji stoje iza Ducktaila potencijalnim žrtvama šalju zlonamernu arhivu. Da ne bi izazvali sumnju, arhive sadrže mamac u vidu tematskih slika i videa. Na primer, tema najnovije kampanje (koja je trajala od marta do početka oktobra 2023.) bila je moda. Mejlovi su slati u ime velikih igrača u modnoj industriji sa arhivama koje sadrže fotografije odevnih predmeta.

Međutim, u ovim arhivama su bili i EXE fajlovi. Ovi fajlovi imaju PDF ikone i veoma dugačka imena fajlova da bi se odvratila pažnja žrtve sa EXE ekstenzije. Pored toga, imena fajlova su pažljivo odabrana kako bi se primaoci ubedili da kliknu na njih.

Nakon što primalac klikne na prikriveni EXE fajl, na uređaju se pokreće zlonamerna skripta. Najpre se zaista prikazuje sadržaj nekog PDF fajla ugrađenog u kod malvera, a istovremeno, malver skenira sve prečice na radnoj površini, meni Start i Quick Launch traku sa alatkama. On traži prečice do pretraživača kao što su Google Chrome, Microsoft Edge, Vivaldi, Brave. Nakon što ih pronađe, malver instalira ekstenziju pretraživača. Pet minuta kasnije, skripta prekida proces pregledača, podstičući korisnika da ga ponovo pokrene koristeći jednu od modifikovanih prečica.

Nakon što korisnik klikne na prečicu, u pretraživač se instalira ekstenzija, koja je maskirana u Google Docs Offline. Ekstenzija počinje da stalno nadgleda sve kartice koje je korisnik otvorio u pretraživaču i šalje informacije o njima na C2 server napadača. Ako među otvorenim karticama pronađe adresu povezanu sa Facebookom, ekstenzija proverava da li postoje Ads i Business nalozi, a zatim ih otima.

Ekstenzija krade informacije sa Facebook naloga na koje je žrtva prijavljena na uređaju, kao i kolačiće sesije koje čuva pretraživač, a koji se mogu koristiti za prijavljivanje na naloge bez autentifikacije.

Grupa koja stoji iza malvera je aktivna od 2018. Stručnjaci veruju da je grupa poreklom iz Vijetnama.

Da bi se zaštitili od Ducktaila i sličnih pretnji, nikada ne preuzimajte sumnjive arhive na računare koje koristite za posao, posebno ako su linkovi iz nepouzdanih izvora.

Proveravajte ekstenzije svih fajlova preuzetih sa interneta ili dobijenih putem imejla pre nego što ih otvorite.

Nikada ne otvarajte fajl koji izgleda kao bezopasan dokument, ali ima EXE ekstenziju — ovo je jasan znak da je reč o malveru.

Uvek instalirajte pouzdanu zaštitu na svim radnim uređajima. Ovo će vas upozoriti na potencijalnu opasnost i na vreme sprečiti sve napade.

Foto: Engin Akyurt / Pexels


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Kako je malver Inferno Drainer ukrao više od 80 miliona dolara od 136.000 korisnika kriptovaluta

Kako je malver Inferno Drainer ukrao više od 80 miliona dolara od 136.000 korisnika kriptovaluta

Kao što privlači milione ljudi širom sveta, tako svet kriptovaluta privlači i sajber kriminalce koji pokušavaju da iskoriste neiskustvo i neznanj... Dalje

Hakeri koriste grešku u Windows SmartScreen da prevare korisnike da preuzmu malver

Hakeri koriste grešku u Windows SmartScreen da prevare korisnike da preuzmu malver

Phemedrone je novi malver za krađu informacija koji inficira računare koristeći ranjivost Microsoft Defender SmartScreena (CVE-2023-36025). Phemedr... Dalje

Nova varijanta zloglasnog Mirai botneta širi malver za rudarenje kriptovaluta

Nova varijanta zloglasnog Mirai botneta širi malver za rudarenje kriptovaluta

Istraživači sajber bezbednosti iz kompanije Akamai otkrili su novu verziju čuvenog botneta Mirai pod nazivom NoaBot, koja se koristi za distribucij... Dalje

Malver MS Drainer ukrao 59 miliona dolara preko Google oglasa i oglasa na X-u

Malver MS Drainer ukrao 59 miliona dolara preko Google oglasa i oglasa na X-u

Istraživači bezbednosti otkrili su novu seriju napada „crypto drainer” malvera koji je do sada ukrao 59 miliona dolara žrtvama koje su ... Dalje

Novi malver JaskaGO krade informacije sa macOS i Windows sistema

Novi malver JaskaGO krade informacije sa macOS i Windows sistema

Istraživači sajber bezbednosti iz AT&T Alien Labsa otkrili su novi sofisticirani malver pod nazivom JaskaGO, napravljen u programskom jeziku Go ... Dalje