Бандата за кражба на дигитална информация Ducktail е актуализирала арсенала си с нови възможности и заплахи, разширявайки дейността си. Групата е известна с кражбите на бизнес-профили във Facebook.
Описана за първи път по-рано тази година, Ducktail е група за зловреден софтуер, специално фокусирана върху бизнес потребителите на Facebook. Предполага се, че е виетнамска. Операторите на Ducktail са активни поне от 2018 г., докато зловредният софтуер се използва от групата от втората половина на 2021 г., по данни на WithSecure.
Заплахите обикновено се насочват към организации, работещи в платформата Business/Ads на Facebook, като целта е кражба на акаунти. Доскоро софтуерът за кражба на данни за профилите се „доставяше“ чрез LinkedIn.
За целта хакерите издирваха лица в компаниите, които работят с бизнес- и рекламната платформа на Facebook и съответно имат достъп на високо ниво до съответния бизнес профил. Сега обаче, след като бяха разкрити през лятото, операторите на Ducktauil промениха техниките си.
Зловредният софтуер вече се промъква покрай стартирането на легитимно изглеждащ фиктивен файл, за да скрие своето деяние, като например текстов документ (.docx), електронна таблица (.xlsx) или видео (.mp4). Заразяването е многоетапно, установява WithSecure. Системата за кражба на информация включва още файл-добавка за Excel (.xll) и програма за изтегляне, разработена под .NET.
Фирмата за киберсигурност изчислява, че финансовите загуби, причинявани от акциите на Ducktail, варират между 100 000 и 600 000 долара, в зависимост от жертвата. Подобни цифри показват, че макар вниманието на глобалната общност да е съсредоточено върху рансъмуера, има и други начини за изцеждане на финансови ресурси от атакуваните компании.