Novotkriveni malware koji je pronađen na LinkedInu, čini se ima podle namjere, a usmjeren je prema poslovnim korisnicima. Točnije, kako piše ThreatPost, malware preuzima kontrolu nad Meta Facebook poslovnim profilima i profilima na oglašivačkim platformama, a kroz phishing kampanju koja cilja LinkedIn račune.
Nazvan Ducktail, ovaj malware koristi kolačiće/cookiese iz internetskih preglednika, vezane uz autentificirane sesije kako bi preuzeo profil i ukrao podatke.
Malware se povezuje s hakerima iz Vijetnama, a prema svemu sudeći kampanja je aktivna posljednjih godinu dana.
Malware je dizajniran kako bi ukrao kolačiće/cookiese iz internetskog preglednika i preuzeo autentificirane Facebook sesije te tako ukrao informacije o žrtvinom Facebook računu. Krajnji mu je cilj "otimanje" bilo kojeg Facebook poslovnog računa kojem žrtva ima pristup, napisali su istraživači iz WithSecurea koji su ga detetktirali.
Ciljaju na ljude koji u tvrtkama rade u odjelima digitalnog marketinga, digitalnih medija i ljudskih resursa.
Kako bi ostvarili pristup, ciljaju odabrane LinkedIn korisnike kroz phishing kampanju koristeći ključne riječi vezane uz brand, proizvode ili planiranje projekata. Potiču ih da preuzmu dokument koji uz fotografije, dokumente i video snimke sadrži i malware.
Kad malware zarazi računalo žrtve, skenira ga u potrazi za informacijama u Google Chromeu, Microsoft Edgeu, Brave pregledniku i Firefoxu. Čim nađe podatke vezane uz Facebook, kopira ih u zaseban dokument. Među podacima koje "krade" su sigurnosni podaci, informacije o osobnim računima, poslovnim računima i oglašivačkim računima.
Ducktail tako omogućuje hakerima da u potpunosti preuzmu kontrolu nad poslovnim računom na Facebooku, čime ostvaruju pristup podacima o kreditnoj kartici žrtve, ali i bilo kakvim drugim financijskim podacima.
Stručnjake za sigurnost zabrinjava što se starije verzije malwarea ne zadržavaju na računalu.
Starije verzije malwarea jednostavno izvrše to što im je zadano i onda odlaze. Novije verzije se vrte u stalnoj petlji u pozadini i s vremena na vrijeme provjeravaju jesu li se kakvi podaci promijenili, ističu stručnjaci.
Zabrimjava i to što je malware dizajniran kako bi zaobišao Metine sigurnosne značajke, jer prikazuje kao da zahtjev za podacima vezanim uz Facebook račune dolazi od žrtvinog primarnog internetskog preglednika. Hakeri također, za izbjegavanje otkrivanja, mogu koristiti ukradene sesije kolačića/cookiesa, pristupne tokene, 2FA kodove, IP adresee i geolokaciju, kao i ostale podatke o računu ne bi li se predstavili kao žrtva i tako ostvarili pristup.
Korisnicima preostaje samo da budu posebno oprezni i ne klikaju na različite poveznice koje im se pojavljuju na LinkedInu.
Izvor: ThreatPost
