Détection de Ducktail Infostealer : des pirates informatiques criminels détournent les comptes d’entreprise avec un nouveau malware

Des hackers criminels motivés financièrement exploitent un nouveau voleur d’informations baptisé Ducktail pour extraire des cookies de navigateur et prendre le contrôle des comptes Facebook Business de leurs victimes. Les preuves suggèrent que les adversaires derrière la campagne sont basés au Vietnam, ciblant principalement les professionnels travaillant dans les ressources humaines, la gestion, et le marketing. Le début du développement actif de la campagne Ducktail peut être retracé à la seconde moitié de 2021.

Les adversaires propagent le malware via une campagne de spear phishing ciblant leurs victimes sur Linkedin.

Campagne de Malware Ducktail Détection

Pour vous assurer que votre système ne soit pas une proie facile pour les voleurs d’informations tels que Ducktail, utilisez une règle Sigma publiée par le contributeur de contenu expérimenté Aytek Aytemur:

Nouveau malware Ducktail Infostealer (via process_creation)

La détection comporte des traductions pour 24 plateformes SIEM, EDR & XDR. La règle est alignée avec le cadre MITRE ATT&CK® v.10, abordant les tactiques d’Evasion de Défense, Exécution, et Commandement et Contrôle avec Injection de Processus (T1055), Exécution Utilisateur (T1204), et Service Web (T1102) comme techniques principales.

Les chasseurs de menaces expérimentés et novices sont invités à partager leur contenu basé sur Sigma en rejoignant le Programme Threat Bounty de SOC Prime pour un accompagnement professionnel et des revenus stables.

Suivez les mises à jour du contenu de détection abordant les compromis de malware voleurs d’informations dans le référentiel du Threat Detection Marketplace de la plateforme SOC Prime pour rester bien informé sur les menaces émergentes – le Afficher les Détections bouton vous amènera à l’immense bibliothèque de règles traduites pour plus de 26 solutions SIEM, EDR, XDR. Parcourez un moteur de recherche de pointe pour Chasse aux Menaces, la Détection des Menaces, et la Cyber Threat Intelligence pour accéder instantanément aux règles Sigma pertinentes accompagnées de métadonnées contextuelles, y compris les références MITRE ATT&CK et CTI, descriptions CVE, binaires exécutables liés aux détections, et plus encore en cliquant sur le Explorer le Contexte des Menaces bouton.

Détecter & Chasser Explorer le Contexte des Menaces

Analyse de Ducktail

La campagne de malware baptisée Ducktail a été détaillée par des analystes de WithSecure. D’après les attaques observées, les opérateurs de Ducktail ciblent les utilisateurs d’entreprise ayant un accès administrateur à la plateforme Business et Ads de Facebook, les attirant à télécharger de fausses informations publicitaires Facebook hébergées sur Dropbox, Apple iCloud, et MediaFire. Il existe des cas où les acteurs de la menace derrière la campagne Ducktail diffusent le malware via Linkedin en envoyant des fichiers d’archives armés. Les attaques sont d’envergure, ciblant des victimes à travers différents secteurs d’industrie à l’échelle mondiale.

Le malware voleur d’informations Ducktail est écrit en .NET Core. Les adversaires utilisent Telegram pour la communication de commande et de contrôle et l’exfiltration de données. Lorsque la victime exécute le malware, il recherche les navigateurs installés sur l’appareil compromis pour exfiltrer les cookies stockés et toutes les données pertinentes liées à Facebook. Le malware exécute également une boucle infinie en arrière-plan qui établit un processus d’exfiltration continu.

Dans la course moderne aux armes cybernétiques, une réponse rapide aux attaques lancées par des hackers criminels peut sauver votre entreprise d’un revers financier et réputationnel dramatique. Rejoignez SOC Prime pour renforcer vos défenses et transformer la détection des menaces grâce à la puissance de l’expertise collective en cybersécurité.