Araştırmacılar, İK ve pazarlama yöneticileri, özellikle de yönetici pozisyonlarında olanlar üzerinde kullanılan Ducktail kötü amaçlı yazılım örneklerini buldular.
Araştırmacılar, bu operasyonun arkasındaki siber suçluların ikna edici dosya adlarına sahip sahte veya sahte belgelerle şirketlerin çalışanlarını çekmeye çalıştıklarını buldu.
Cyble Research and Intelligence Labs (CRIL) araştırmacıları, Ducktail kötü amaçlı yazılımının 2021’in ikinci yarısından bu yana daha iyi kaçırma ve saldırı gücü için geliştirildiğini buldu.
İK yöneticileri ve pazarlama yöneticileri için Ducktail kötü amaçlı yazılımı, LinkedIn ve diğer sosyal medya işletme hesapları aracılığıyla izlenir.
Çalışanın sistemine erişim elde ettikten sonra, İK yöneticileri ve pazarlamacılar için Ducktail kötü amaçlı yazılımı, sosyal medya oturum verilerini kopyalamak için tarayıcı tanımlama bilgilerini çalar. Bu, bu kötü niyetli kampanyanın arkasındaki siber suçluların sosyal medya iş medya hesapları üzerinde kontrol sahibi olmalarına yardımcı olur.
İK ve pazarlama müdürlerinde kullanılan ördek kuyruğu kötü amaçlı yazılımı: Ayrıntılar
İK yöneticileri ve pazarlama müdürleri için Ducktail kötü amaçlı yazılımının, sistemlerine ve hesaplarına erişim elde etmek için bu kampanyayı yürüttüğü ve böylece hesaplarında özelleştirilmiş sahte reklamların çalıştırıldığı tespit edildi.
Bu hileli reklamlar, şirkette iş arayan veya pazarlama işi arayan binlerce adaya ulaşabilir.
Tehdit aktörleri, erişimlerini genişletmek ve çeşitli amaçlarla daha fazla sistem verisi çalmak için bu bağlantı zincirinden yararlanabilir. Bulunan verilerin geri kalanı, karanlık ağda bir çalışanın cihazına siber saldırı başlatmak ve bu cihaz aracılığıyla kurumsal ağa ulaşmak isteyen diğer bilgisayar korsanlarına satılabilir.
İK ve pazarlama yöneticilerini hedef alan mali amaçlı kötü amaçlı yazılım kampanyasının Vietnam’dan çıktığı tespit edildi ve siber suçluların Asya ülkesine kadar izlendi.
İK ve pazarlama müdürlerinde kullanılan ördek kuyruğu kötü amaçlı yazılımı: Kodu tespit etme
Cyble Araştırma ve İstihbarat Laboratuvarları, suçluların İK yöneticilerini kandırmak için kullandığı sahte dosyaların anlaşılmasına yardımcı olabilecek belge örnekleri buldu. Bu dosyalar meşru görünüyor, ancak tuzaktan başka bir şey değildi. Bu ve benzeri görünen kötü amaçlı yazılım bulaşmış öğeler tıklanmamalı, açılmamalı veya kimseyle paylaşılmamalıdır.
Aşağıdaki isimlerle cihazınıza gönderilen istenmeyen, beklenmeyen ve alakasız e-postaları veya dosyaları arayın –
Hedeflenen şirket personeline gönderilen dosyaların ilgili adları (Fotoğraf: Cyble blog)
Bulunan dosya adları şunlardı:
- Borgiolishoes – Dijital Pazarlama Proje Planı
- Plan.Description_for_the_Position_of_Director_8_Digital_Pazarlama
- GAP 2023 İş Tanımı Planı
- Policy_Salary_Products_2023_NEW
- AVALON ORGANICS’te Proje Bilgileri ve Maaş Detayları
- 2
- Ticari Pazarlama Müdürü LACOSTE_HR
Bunların hepsi zip dosyalarıydı.
Cyble blogunda, “TA’lar, dijital pazarlama projeleri, iş tanımları, çeşitli pozisyonlar için planlar ve Giyim, Ayakkabı ve Kozmetik sektörlerindeki şirketlerle ilgili politika ve maaş bilgileriyle ilgili temalara odaklandı.”
CRIL araştırmacıları, e-postalarda ve eklerde belirtilen şirket adlarının önde gelen giyim, ayakkabı ve kozmetik markalarına ait olduğuna dikkat çekti.
Kötü amaçlı yazılımı barındırmak için Google Drive, Microsoft OneDrive ve Dropbox gibi popüler dosya paylaşım hizmetleri kullanıldı. Toplum mühendisliği yöntemi kullanılarak çeşitli tüketim malları markaları adına profesyonelleri ilgilendiren iletişimlerle hedefler kandırıldı.
CRIL araştırmacıları, profesyonelleri, ilk iletişimin kurulduğu kesin yöntemi veya kanalı bulamadıkları için LinkedIn’de bile gelen iletişimlerde şüpheli bir şey bulmaları konusunda uyardı.
İK ve pazarlama müdürlerinde kullanılan Ducktail kötü amaçlı yazılımı hakkında teknik ayrıntılar
Zararlı zip dosyalarının içeriği (Fotoğraf: Cyble blog)
- Dropbox bağlantısı şuydu: hxxps[:]//www[.]açılan kutu[.]com/s/ng04kf3c1x1nya1/Project%20Information%20And%20Maaş%20Detaylar%20At%20AVAL
- Zip dosyalarını çıkardıktan sonra içerik, png, jpg, word ve pdf formatlarında gibi görünen simgeleri ve belgeleri gösterdi. Pdf ve Word belgeleri aslında yürütülebilir dosyalar iken.
- Bilgi çalan kötü amaçlı yazılım, Google Chrome, Microsoft Edge, Brave ve Mozilla Firefox’u hedefleyebilir.
- İK ve pazarlama yöneticileri için Ducktail kötü amaçlı yazılımı, şu adreste bulunan kayıt defterini tarar: HKLM\YAZILIM\WOW6432Düğüm\İstemciler\StartMenuInternet tarayıcı adını, yolunu ve simge yolunu bulmak için.
- Ducktail ayrıca diğer tehditler, erişim belirteçleri ve kullanıcı aracılarının yanı sıra kullanıcıların etkinliklerini bilgisayar korsanlarının görüş alanına sokan IP adreslerini de çalar.
Hedef hesaplarda iki faktörlü kimlik doğrulama etkinse, İK ve pazarlama müdürlerine yönelik Ducktail kötü amaçlı yazılımı, hedeflenen cihaza erişimi sürdürmek ve planlandığı gibi siber saldırıyı gerçekleştirmek için kurtarma kodlarına erişmeye çalışır.
Komuta ve Kontrol sunucusu, çalınan verileri bilgisayar korsanının cihazına geri getirmek için Telegram bot işlevinin kullanıldığı Telegram’da bulundu.
İK yöneticilerinin ve pazarlama yöneticilerinin birkaç bağlantısı siber saldırı riski altındadır ve para kaybedebilir ve sahte işlere dolandırılabilir. Rapor, daha büyük işletmelerdenmiş gibi görünebilecek yabancılarla açılmamanın veya onlarla iletişim kurmamanın önemli olduğu konusunda uyardı.
Çok faktörlü kimlik doğrulamayı etkinleştirmek, dolandırıcılar tarafından tahmin edilebilecek veya çalınabilecek bir parola kullanmaktan her zaman daha iyidir. Ayrıca iyi bir anti-virüs uygulamasının aktif hale getirilmesi ve cihazın sürekli güncel tutulması da tehlikenin önüne geçilmesi için gerekli olduğunu öne sürdü.