Rilevamento di Ducktail Infostealer: Hacker Criminali Compromettono Account Aziendali con Nuovo Malware

Gli hacker criminali motivati finanziariamente sfruttano un nuovo infostealer chiamato Ducktail per esfiltrare i cookie dei browser e prendere il controllo degli account Facebook Business delle vittime. Le prove suggeriscono che gli avversari dietro la campagna hanno sede in Vietnam e prendono di mira principalmente professionisti che lavorano in risorse umane, gestione e marketing. Si può rintracciare l’inizio dello sviluppo attivo della campagna Ducktail alla seconda metà del 2021.

Gli avversari diffondono il malware attraverso una campagna di spear phishing che mira alle loro vittime su Linkedin.

Rilevamento della campagna Malware Ducktail

Per garantire che il tuo sistema non sia un’anatra seduta per infostealer come Ducktail, utilizza una regola Sigma rilasciata dal veterano creatore di contenuti Aytek Aytemur:

Nuovo malware infostealer Ducktail (via process_creation)

Il rilevamento ha traduzioni per 24 piattaforme SIEM, EDR e XDR. La regola è allineata con il framework MITRE ATT&CK® v.10, affrontando le tattiche di Evasione della Difesa, Esecuzione e Comando e Controllo con Iniezione di Processo (T1055), Esecuzione Utente (T1204) e Servizio Web (T1102) come tecniche principali.

Sia i cacciatori di minacce esperti che quelli aspiranti sono invitati a condividere i loro contenuti basati su Sigma unendosi al Threat Bounty Program di SOC Prime per una guida professionale e un reddito stabile.

Segui gli aggiornamenti dei contenuti di rilevamento che affrontano compromessi da malware infostealer nel repository Threat Detection Marketplace della piattaforma SOC Prime per rimanere ben informato sulle minacce emergenti – il Pulsante Vedi Rilevamenti ti porterà alla vasta libreria di regole tradotte in più di 26 soluzioni SIEM, EDR, XDR. Naviga in un motore di ricerca leader nel settore per Threat Hunting, Threat Detection e Cyber Threat Intelligence per raggiungere istantaneamente regole Sigma pertinenti accompagnate da metadati contestuali, compresi riferimenti MITRE ATT&CK e CTI, descrizioni di CVE, binari eseguibili collegati ai rilevamenti e altro cliccando sul pulsante Esplora Contesto della Minaccia .

Rileva & Caccia Esplora Contesto della Minaccia

Analisi Ducktail

La campagna di malware chiamata Ducktail è stata dettagliata dagli analisti di WithSecure. Basandosi sugli attacchi osservati, gli operatori Ducktail prendono di mira utenti aziendali con accesso amministrativo alla piattaforma Business e Ads di Facebook, attirandoli per scaricare false informazioni pubblicitarie di Facebook ospitate su Dropbox, Apple iCloud e MediaFire. Ci sono casi di attori della minaccia dietro la campagna Ducktail che diffondono malware tramite Linkedin inviando file di archivio armati. Gli attacchi sono su larga scala, mirano a vittime in diversi settori industriali a livello globale.

Il malware infostealer Ducktail è scritto in .NET Core. Gli avversari usano Telegram per la comunicazione di comando e controllo e l’esfiltrazione di dati. Quando la vittima esegue il malware, questo analizza i browser installati sul dispositivo compromesso per esfiltrare i cookie memorizzati e tutti i dati relativi a Facebook. Il malware esegue anche un loop infinito in background che stabilisce un processo continuo di esfiltrazione.

Nella moderna corsa agli armamenti informatici, una risposta tempestiva agli attacchi lanciati da hacker criminali può salvare la tua azienda da un grave arretramento finanziario e reputazionale. Unisciti a SOC Prime per migliorare le tue difese e trasformare il Threat Detection con il potere del know-how collettivo nella cybersecurity.