Ducktail Infostealer Erkennung: Kriminelle Hacker kapern Geschäftsaccounts mit neuer Malware
Inhaltsverzeichnis:
Finanziell motivierte kriminelle Hacker nutzen einen neuen Infostealer namens Ducktail, um Browser-Cookies zu exfiltrieren und die Facebook-Business-Konten der Opfer zu übernehmen. Die Beweise deuten darauf hin, dass die hinter der Kampagne stehenden Gegner in Vietnam ansässig sind und hauptsächlich Fachleute in HR, Management und Marketing ins Visier nehmen. Der Beginn der aktiven Entwicklung der Ducktail-Kampagne lässt sich auf die zweite Hälfte des Jahres 2021 zurückverfolgen.
Die Gegner verbreiten die Malware über eine Spear-Phishing-Kampagne, die ihre Opfer auf Linkedin ins Visier nimmt.
Ducktail-Malware-Kampagnenerkennung
Um sicherzustellen, dass Ihr System nicht ein leichtes Ziel für Infostealer wie Ducktail ist, verwenden Sie eine spezielle Sigma-Regel veröffentlicht von dem erfahrenen Inhaltsersteller Aytek Aytemur:
Neue Ducktail-Infostealer-Malware (via process_creation)
Die Erkennung verfügt über Übersetzungen für 24 SIEM-, EDR- & XDR-Plattformen. Die Regel ist mit dem MITRE ATT&CK®-Framework v.10 abgestimmt und adressiert die Taktiken zur Umgehung der Verteidigung, Ausführung und Befehls- und Kontrolltaktiken mit Prozessinjektion (T1055), Benutzerausführung (T1204) und Webdienst (T1102) als primäre Techniken.
Sowohl erfahrene als auch angehende Bedrohungsjäger sind eingeladen, ihre Sigma-basierten Inhalte zu teilen, indem sie dem Threat Bounty-Programm von SOC Prime beitreten für professionelle Anleitung und stabiles Einkommen.
Folgen Sie den Updates der Erkennungsinhalte, die Infostealer-Malware-Kompromittierungen im Threat Detection Marketplace-Repository der SOC Prime-Plattform adressieren, um gut über aufkommende Bedrohungen informiert zu bleiben – der Ansicht-Erkennungen Button führt Sie zu der umfangreichen Bibliothek von Regeln, die in über 26 SIEM-, EDR-, XDR-Lösungen übersetzt wurden. Durchsuchen Sie eine branchenführende Suchmaschine für Threat Hunting, Bedrohungserkennung und Cyber Threat Intelligence, um sofort relevante Sigma-Regeln mit kontextuellen Metadaten zu erreichen, einschließlich MITRE ATT&CK- und CTI-Referenzen, CVE-Beschreibungen, ausführbaren Binärdateien, die mit den Erkennungen verknüpft sind, und mehr, indem Sie auf die Bedrohungskontext-erkunden Button klicken.
Erkennen & Jagen Bedrohungskontext-erkunden
Ducktail-Analyse
Die Malware-Kampagne namens Ducktail wurde von Analysten von WithSecuredetailliert beschrieben. Basierend auf den beobachteten Angriffen zielen Ducktail-Betreiber auf Unternehmensbenutzer mit Administratorzugriff auf Facebooks Business- und Anzeigenplattform ab, indem sie sie dazu verleiten, gefälschte Facebook-Werbeinformationen herunterzuladen, die auf Dropbox, Apple iCloud und MediaFire gehostet werden. Es gibt Fälle, in denen die hinter der Ducktail-Kampagne stehenden Bedrohungsakteure Malware über Linkedin verbreiten, indem sie manipulierte Archivdateien versenden. Die Angriffe sind breit gefächert und zielen auf Opfer in verschiedenen Branchen weltweit ab.
Die Ducktail-Infostealer-Malware ist in .NET Core geschrieben. Die Angreifer nutzen Telegram für Kommando-und-Kontroll-Kommunikation und Datenexfiltration. Wenn das Opfer die Malware ausführt, durchsucht sie installierte Browser auf dem kompromittierten Gerät, um gespeicherte Cookies und alle relevanten Facebook-bezogenen Daten zu exfiltrieren. Die Malware läuft auch in einer Endlosschleife im Hintergrund, die einen kontinuierlichen Exfiltrationsprozess etabliert.
Im modernen Wettlauf um Cyberwaffen kann eine rechtzeitige Reaktion auf Angriffe von kriminellen Hackern Ihr Unternehmen vor einem finanziellen und reputationsbezogenen Rückschlag bewahren. Treten Sie SOC Prime bei, um Ihre Abwehr zu verstärken und mit der Kraft kollektiver Cybersicherheitsexpertise die Bedrohungserkennung zu transformieren.
