محققان WithSecure (قبلاً F-Secure) جزئیات یک کمپین جدید فیشینگ نیزه‌ای را فاش کرده اند که حساب‌های تجاری فیس بوک را هدف قرار می‌دهد. این کمپین حداقل از جولای ۲۰۲۱ فعال بوده است.

طبق گفته محققان، این حمله مستلزم استفاده از یک دزد اطلاعاتی به نام Ducktail است که برای سرقت کوکی‌های مرورگر برای جلسات معتبر فیس بوک و اطلاعات از حساب فیس بوک طراحی شده است. هدف این است که هر حساب تجاری را که قربانی می‌تواند به آن دسترسی داشته باشد ربوده شود

اهداف Ducktail چه کسانی هستند؟

به گفته WithSecure، بدافزار Ducktail آن «افراد و سازمان‌ها» را هدف قرار می‌دهد که از تبلیغات فیسبوک و خدمات تجاری استفاده می‌کنند. افراد درگیر در بازاریابی دیجیتال، مشاغل مدیریتی، منابع انسانی و رسانه‌های دیجیتال هدف اصلی هستند.

Modus Operandi این کمپین شامل شناسایی اهداف از طریق لینکدین و ارائه بدافزار توسط مهاجمان می‌شود.

محمدکاظم حسن نژاد، محقق WithSecure در این گزارش اظهار کرد: اکثر کمپین‌های فیشینگ نیزه افراد را از طریق لینکدین هدف قرار می‌دهند.

اگر در نقشی هستید که به حساب‌های رسانه‌های اجتماعی شرکتی دسترسی دارد، مهم است که هنگام تعامل با دیگران در پلتفرم‌های رسانه‌های اجتماعی احتیاط کنید، به‌ویژه زمانی که با پیوست‌ها یا لینک‌هایی که از سوی افرادی که با آن‌ها آشنا نیستید سروکار دارید. 

محققان مطمئن هستند که یک عامل تهدید مستقر در ویتنام این کمپین مالی را انجام می‌دهد. آن‌ها این کمپین را زودتر در سال ۲۰۲۲ شناسایی کردند. آن‌ها معتقدند در حال حاضر بخش یا هدف جغرافیایی خاصی وجود ندارد. با این حال، این بدافزار از سه ماهه دوم سال ۲۰۲۱ به طور مداوم به روز و اصلاح شده است. با این حال، عامل تهدید از سال ۲۰۱۸ فعال بوده است.

کلاهبرداری چگونه کار می‌کند؟

طبق گزارش WithSecure، نمونه‌های بدافزار در سرویس‌های Cloud مانند MediaFire، iCloud و Dropbox میزبانی می‌شوند. بدافزار از طریق لینکدین به افراد مورد نظر تحویل داده می‌شود، زیرا آن‌ها معمولاً حساب‌های تجاری فیس بوک دارند.

بدافزار Ducktail در NET Core نوشته شده و در یک فایل کامپایل شده است تا باینری آن بتواند علیرغم زمان اجرا دات نت بر روی رایانه قربانی اجرا شود. مهاجم می‌تواند با قرار دادن سرویس گیرنده Telegram.Bot و سایر وابستگی‌های خارجی در یک فایل اجرایی از تلگرام برای C&C استفاده کند.

Ducktail تضمین می‌کند که یک نمونه در همه زمان‌ها اجرا می‌شود و به جستجوی مرورگر‌های نصب‌شده برای شناسایی مسیر‌های کوکی ادامه می‌دهد. Ducktail می‌تواند اطلاعات کلی را جمع‌آوری کند و داده‌های مرتبط با فیس‌بوک را بدزدد، که سپس در چندین سناریو از جمله پس از ربوده شدن، زمانی که حلقه کد کامل می‌شود، یا زمانی که فرآیند خراب/خروج می‌شود، به تلگرام منتقل می‌شود.

نسخه‌های جدید Ducktail یک حلقه بی‌نهایت در پس‌زمینه اجرا می‌کنند که به طور مداوم به‌روزرسانی‌ها و کوکی‌های جدید را از حساب فیسبوک قربانی برای تعامل با آن و ایجاد یک شناسه ایمیل با دسترسی ادمین و نقش‌های ویرایشگر مالی، که توسط مهاجم کنترل می‌شود، امکان‌پذیر می‌سازد.

بدین ترتیب مهاجم کنترل کامل حساب را به دست می‌آورد و کارت‌های اعتباری تجاری یا سایر جزئیات مالی مانند تراکنش ها، روش‌های پرداخت و غیره را ویرایش می‌کند.

محافظت در برابر بدافزار Ducktail

بهترین راه برای محافظت از خود در برابر بدافزار Ducktail این است که مراقب باز کردن ایمیل‌ها و پیوست‌های فرستندگان ناشناس باشید و از کلیک کردن روی پیوند‌ها در پیام‌های ایمیل خودداری کنید.

از کلیک روی پیوند‌ها یا دانلود پیوست‌های ارسال شده توسط کاربران ناشناس از طریق ویژگی چت لینکدین یا مسنجر فیس بوک خودداری کنید. همچنین در صورت امکان همیشه باید از رمز‌های عبور قوی و احراز هویت دو مرحله‌ای استفاده کنید.

همچنین باید دستگاه خود را با آخرین وصله‌های امنیتی به روز نگه دارید تا خطر ابتلا به Ducktail یا هر بدافزار دیگر را کاهش دهید.

منبع: هکرد