Постачальник спільних послуг TransForm опублікував оновлення щодо кібератаки, яка нещодавно вплинула на роботу кількох лікарень в Онтаріо, Канада, уточнивши, що це була атака програмного забезпечення-вимагача.
1027 
Дослідники WithSecure (раніше F-Secure) розкрили подробиці нової фішингової кампанії, націленої на бізнес-акаунти Facebook. Кампанія діє щонайменше з липня 2021 року. На думку дослідників, атака передбачає використання хака під назвою Ducktail, призначеного для викрадення файлів cookie браузера для реальної інформації про сеанси Facebook і облікових записів Facebook. Мета полягає в тому, щоб захопити всі професійні облікові записи, доступні жертві.
За даними WithSecure, зловмисне програмне забезпечення Ducktail націлене на тих «осіб і організацій», які використовують рекламу Facebook і бізнес-сервіси. Люди, які займаються цифровим маркетингом, керівними роботами, кадрами та цифровими медіа, є головними цілями.
Принцип роботи кампанії полягає в тому, що зловмисники виявляють цілі через LinkedIn і поширюють зловмисне програмне забезпечення. Дослідник WithSecure Мохаммад Казем Хассан Неджад написав звіт і сказав, що більшість фішингових кампаній націлені на людей через LinkedIn.
«Якщо ви займаєте посаду, яка має доступ адміністратора до корпоративних облікових записів у соціальних мережах, важливо проявляти обережність під час взаємодії з іншими на платформах соціальних мереж, особливо коли ви маєте справу з вкладеннями або посиланнями, надісланими особами, з якими ви не знайомі». Сказав Мохаммад Казем Хасан Неджад – WithSecure
Дослідники переконані, що причиною цієї фінансової кампанії є загроза з боку В’єтнаму. Вони виявили цю кампанію раніше в 2022 році. Вони вважають, що наразі немає секторного чи географічного націлювання. Однак це зловмисне програмне забезпечення постійно оновлювалося та модифікувалося з 2 кварталу 2021 року. Однак загрозливий актор був активним із 2018 року.
Зловмисне програмне забезпечення Ducktail написано в .NET Core і скомпільовано в один файл, щоб його двійковий файл міг працювати, незважаючи на середовище виконання .NET на комп’ютері жертви. Зловмисник може використовувати Telegram для C&C, вставивши клієнт Telegram.Bot та інші зовнішні залежності в один виконуваний файл.
Ducktail забезпечує постійну роботу одного екземпляра та продовжує сканування встановлених браузерів, щоб визначити шляхи файлів cookie. Ducktail може збирати загальну інформацію та викрадати дані, пов’язані з Facebook , які потім передаються в Telegram за кількома сценаріями, наприклад після викрадення, коли цикл коду завершується або коли процес аварійно завершується/закривається.
Нові версії Ducktail запускають нескінченний цикл у фоновому режимі, що дозволяє безперервно вилучати нові оновлення та файли cookie з облікового запису жертви у Facebook, щоб взаємодіяти з ним і створювати ідентифікатор електронної пошти з доступом адміністратора та ролями редактора фінансів, якими керує зловмисник.
Таким чином зловмисник отримує повний контроль над обліковим записом і змінює кредитну картку компанії або інші фінансові деталі, як-от транзакції, способи оплати тощо.
Найкращий спосіб захистити себе від зловмисного програмного забезпечення Ducktail — уважно стежити за відкриттям електронних листів і вкладень від невідомих відправників і уникати натискань на посилання в електронних листах.
Уникайте натискання посилань або завантаження вкладень, надісланих анонімними користувачами через чат LinkedIn або Facebook Messenger. Ви також повинні завжди використовувати надійні паролі та двофакторну автентифікацію, коли це можливо.
Ви також повинні оновити свій пристрій до останніх патчів безпеки, щоб зменшити ризик зараження Ducktail або будь-яким іншим шкідливим програмним забезпеченням.
1027 
1026 
1049