29-07-2022

Ny infostealer-malware går efter HR- og marketingprofiler

Mohammad Kazem Hassan Nejad .

It-sikkerhedsvirksomheden WithSecure har opdaget en ny malware, Ductail, der er målrettet individuelle brugere og virksomheder, der arbejder med Facebooks annonceplatform. Baseret på analyse og indhentning af data vurderer WithSecure, at der er tale om en vietnamesisk aktør med finansielle motiver.

Ducktail anvender en infostealer malware-komponent, som inkluderer funktionalitet, der er specielt designet til at hijacke Facebook Business-konti. Det er første gang, WithSecure ser denne type funktionalitet, som adskiller Ducktail fra tidligere malwareangreb rettet mod Facebook. Malwaren er nemlig designet til at stjæle browser-cookies og udnytte godkendte Facebook-sessioner til at stjæle oplysninger fra ofrets Facebook-konti og ad den vej sikre sig adgang til alle Facebook Business-konti, som ofret måtte have adgang til.

WithSecure har konstateret, at Ducktail søger efter og finder sine ofre via phishing på LinkedIn, hvor den udvælger brugere, der med høj sandsynlighed har adgang til Facebook Business-konti – og især brugere med administrationsprivilegier står for skud.

- Vi mener, at gruppen bag Ducktail omhyggeligt udvælger et begrænset antal ofre for at øge deres chancer for succes og for at forblive under radaren. Vi har dog set malwaren ramme personer med roller inden for ledelse, digital marketing, digitale medier og HR i deres respektive virksomheder, siger Mohammad Kazem Hassan Nejad, der er trusselsefterforsker i WithSecure Intelligence.

Ducktail-malwaren, der blev registreret tidligere på året, og siden er blevet studeret nøje, er blevet udviklet og distribueret siden anden halvdel af 2021. Aktørerne bag Ducktail har sidenhen opdateret malwaren i et forsøg på at forbedre dens evne til at omgå eksisterende og nye sikkerhedsfunktioner på Facebook.

Selvom WithSecure har løsninger på plads inden for både endpoint-beskyttelse (EPP) og endpoint-detection og respons (EDR), der opdager, vurderer og analyser alle truslers cyklus, mener Mohammad Kazem Hassan Nejad dog alligevel, at opmærksomhed og forsigtighed er nøglen til at undgå at blive offer for malwaren.

- Mange spearphishing-kampagner bruger LinkedIn til at finde sine ofre. Så hvis du sidder i en rolle, hvor du har administratorrettigheder til din virksomheds Facebook-profil, er det vigtigt at være særdeles forsigtig, når du interagerer med andre på alle sociale medier – især, hvis du modtager links og vedhæftede filer fra personer, du ikke kender, understreger Mohammad Kazem.

I takt med, at brugen af sociale medier stiger, tiltrækkes cyberkriminelle desværre i højere grad også. Malware rettet mod platforme som Facebook har hidtil været rimelig uset på grund af de stærke sikkerhedsfunktioner, der er implementeret i moderselskabet Meta og derved også Facebook. Alligevel er den store brugeropbakning til Meta-universet alligevel blevet interessant for cyberkriminelle, der er på udkig efter nye ofre.

WithSecure har delt virksomhedens Ducktail-research med Meta.