קמפיין דיוג חנית המכונה "זנב ברווז" עושה את הסיבוב בלינקדאין על ידי מיקוד לאנשים שמנהלים חשבונות פייסבוק עסקיים. נעשה שימוש בגנב מידע בתהליך כדי לגשת למידע.

אנשים ספציפיים ממוקדים על ידי השחקן הזדוני

בזנב הברווז דיוג בחנית מסע הפרסום, התוקפים מכוונים אך ורק לאנשים שמנהלים חשבונות פייסבוק עסקיים, וכן לכן הוענקו הרשאות מסוימות לכלי הפרסום והשיווק של החברה פייסבוק. אלה שמוצגים בלינקדאין כבעלי תפקידים בשיווק דיגיטלי, שיווק במדיה חברתית, פרסום דיגיטלי וכדומה, הם יעדים עיקריים עבור התוקף הזה.

חברת אבטחת סייבר WithSecure דווח בפרסום לאחרונה שהתוכנה הזדונית של Ducktail היא הראשונה מסוגה, ונחשבת שהיא נשלטת על ידי מפעיל וייטנאמי.

לא ידוע בדיוק כמה זמן הקמפיין הזה נמשך, אבל הוא אושר פעיל במשך שנה אחת לפחות. עם זאת, ייתכן שזנב ברווז נוצר והשתמש בו לראשונה לפני ארבע שנים בזמן הכתיבה.

בעוד שחשבונות לינקדאין אינם ממוקדים ישירות בקמפיין זה, הפלטפורמה משמשת ככלי לגישה ליעדים. השחקן הזדוני מחפש משתמשים בעלי תפקידים המעידים שיש להם גישה ברמה גבוהה לכלי הפרסום של המעסיק שלהם, כולל חשבון הפייסבוק העסקי שלהם.

instagram viewer

לאחר מכן, התוקף ישתמש בהנדסה חברתית כדי לשכנע את הקורבן להוריד קובץ ארכיון המכיל תוכנת הפעלה תוכנה זדונית כמו גם כמה תמונות וקבצים נוספים, שכולם מתארחים על ידי מגוון ספקי אחסון בענן, כמו Dropbox ו iCloud. התוכנה הזדונית של Ducktail כתובה ב-.NET Core, מסגרת תוכנה בקוד פתוח. המשמעות היא שהתוכנה הזדונית של infostealer יכולה לפעול כמעט על כל מכשיר, ללא קשר למערכת ההפעלה שבה הוא משתמש.

לאחר מכן, התוכנה הזדונית של Ducktail יכולה לסרוק אחר קובצי Cookie בדפדפן כדי למצוא את פרטי ההתחברות הנדרשים כדי לגשת לחשבון Facebook Business על ידי חטיפת קובץ ה-cookie של הפגישה. על ידי פריצה לחשבון Facebook Business, ניתן לגנוב מידע רגיש על החברה, לקוחותיה ודינמיקת פרסום.

רווח כספי הוא היעד הסביר בקמפיין של זנב ברווז

WithSecure הצהיר ב הפוסט שלו על זנב ברווז שמעשיו של הצד הזדוני ככל הנראה "מונעים כלכלית". כאשר התוקף משיג שליטה מלאה בחשבון Facebook Business הממוקד, הוא יכול לערוך את כרטיס האשראי ומידע עסקה, ולהשתמש באמצעי התשלום של החברה כדי להפעיל את הפרסום שלהם מסעות פרסום. זה יכול להזיק כלכלית לחברה אבל יכול לקחת זמן עד שמבחינים בכך, מה שנותן לשחקן הזדוני יותר זמן לנצל את הקורבן.

זנב ברווז עשוי לצבור קורבנות רבים בעתיד הקרוב

מכיוון ש- Ducktail הוא סוג יחיד במינו של תוכנות זדוניות ומכוון לאזור שאנשים רבים לא יחשבו לבדוק, ניתן להשתמש בו כדי לנצל בהצלחה רשימה ארוכה של קורבנות לאורך זמן. למרות שלא ידוע אם התוקף חדר בהצלחה לחשבונות פייסבוק עסקיים, האיום עדיין נשאר.