Zettasecure überwacht alle Cybersecurity relevanten Bedrohungen, die sich in irgendeiner Weise gegen unsere Kunden richten und ihnen Schaden zufügen könnten. Im September 2022 wurden wir auf eine neue Phishing-Kampagne aufmerksam, die speziell auf einige unserer Benutzer mit Zugang zu Meta (Facebook) Business-Konten abzielt, indem sie Infostealer-Malware auf deren PCs platzieren und alle Cookies von eingeloggten Benutzern stiehlt. Der Name dieser Malware ist Ducktail. Die Opfer werden handverlesen, indem Unternehmen ausfindig gemacht werden, die auf Meta (Facebook) Business Ads tätig sind. Die Betreiber dieser Accounts werden dann möglicherweise über LinkedIn gefunden und direkt angegriffen. Mehr dazu finden Sie in unserem ersten Blogeintrag vom September 2022 hier.
Ducktail geht weiter
Nachdem der erste Bericht von WithSecure veröffentlicht wurde, änderten die Angreifer ihre Vorgehensweise und zielten nicht mehr direkt auf Einzelpersonen und Unternehmen, sondern auf die breite Masse ab. Dies geschieht durch die Bereitstellung verschiedener schadhafter Dateien im .zip-Format, die sich als geknackte oder kostenlose Softwareversionen von Microsoft Office, verschiedenen Spielen, Programmen und mehr tarnen. Die Angreifer verleiten ihre Opfer dann dazu, diese Dateien herunterzuladen und auszuführen. Um das Vertrauen ihrer Opfer zu gewinnen, werden die . zip-Dateien meist auf vertrauenswürdigen File-Sharing-Plattformen gehostet. In einem Fall, über den hier berichtet wurde, erhielten die Opfer ein bösartiges Archiv auch in einem WhatsApp-Chat, was die Phishing-Operation dieses Threat-Actors auf einen bisher noch nie genutzten Kanal erweitert. Einem Bericht von ZScaler zufolge liegt der Fokus auf mehr Daten als zuvor. Ihrer Analyse gemäß verfügt die Malware nun über die folgenden Funktionen:
- Fragt die im System installierten Browserinformationen ab.
- Fragt gespeicherte Informationen von Browser-Cookies aus dem System ab und übermittelt diese an den Angreifer.
- Fokussiert teilweise noch immer Meta Business Accounts.
- Sucht nach Kontoinformationen der Krypto Wallet in der Datei wallet.dat.
- Sammelt die Daten und sendet sie an den Command and Control (C&C) Server (derzeit Telegram).
Wie man sieht, gibt es eine Verlagerung von den Meta-Konten (Facebook) zu einem breiteren Ansatz. Nach der Infektion und der Exfiltration der Daten beginnt zusätzlich noch manuelle arbeit der Angreifer und es werden weitere Informationen auf dem infizierten System gestohlen, die nicht von der Malware abgedeckt wird.
Wie schütze ich mein Unternehmen davor?
Diese Art von Angriffen konzentriert sich auf Social-Engineering-Taktiken mit dem Fokus auf alle Mitarbeiter mit Zugang zu Konten und sensiblen Informationen. Daher empfehlen wir Ihnen die folgenden Schritte, um die Auswirkungen auf Ihr Unternehmen zu verringern:
- Verwenden Sie eine aktuelle Endpoint Detection and Response-Lösung (z.B.: SentinelOne Complete).
- Führen Sie ein Awarenesstraining durch, wie man Phishing richtig erkennt.
- Bewerten Sie Ihre Angriffsfläche, um herauszufinden, welche Mitarbeiter betroffen sein könnten. Konzentrieren Sie sich zunächst auf LinkedIn und WhatsApp-Datendumps.
- Überprüfen Sie Ihre Facebook Business-Benutzer -> Business Manager > Einstellungen > Personen.
- Überprüfen Sie die Nutzer Ihres YouTube-Business Kontos-> Einstellungen > Konto > Manager hinzufügen oder entfernen. Entziehen Sie unbekannten Nutzern den Zugang und überprüfen Sie alle Ihre Geräte.
- Melden Sie sich nach jeder Sitzung ab und bei der nächsten Sitzung wieder an. Ein Passwort-Manager würde Ihnen dabei helfen.
- Verwenden Sie MFA für alle Managerkonten.
- Laden Sie niemals Dateien herunter, die für Ihre Arbeit nicht relevant sind.
Zu guter Letzt sollten Sie überprüfen, ob Sie bereits mit Ducktail infiziert sind, indem Sie alle öffentlich zugänglichen IoCs von hier aus überprüfen. Wenn dies der Fall ist, wenden Sie sich an Zettasecure und wir helfen Ihnen, diesen Angriff zu beheben und Ihre Angriffsfläche zu reduzieren.
