WithSecure tarafından derlenen istihbarata göre, sosyal medya kullanıcılarının hesaplarını Ducktail olarak bilinen bilgi hırsızı kötü amaçlı yazılımla hedef alan siber suçlular, faaliyetlerini önemli ölçüde artırıyor ve Vietnam merkezli tehdit aktörleri bu yeni yükselişi yönlendirmeye devam ediyor.
Ducktail ilk olarak 12 aydan biraz daha uzun bir süre önce ortaya çıktı ve Facebook’taki işletme hesaplarını hedef alıyor ve hedef odaklı kimlik avı e-postaları yoluyla, Meta’nın işletme hizmetinde yönetici ayrıcalıklarına sahip olduğundan şüphelenilen araştırılmış hedeflere karşı yayılıyor.
Genellikle genel bulut dosya depolama hizmetlerinde barındırılıyor ve şüpheyi en aza indirmek amacıyla marka ve ürün pazarlamasıyla ilgili anahtar kelimeler kullanılarak isimlendirilen görseller, belgeler ve video dosyalarının yanı sıra kötü amaçlı yazılımı içeren bir arşiv dosyası olarak teslim ediliyordu.
Daha sonra tarayıcı çerezlerini çaldı ve kurbanların muhtemelen erişebildiği Meta Business hesaplarını ele geçirmek için gereken bilgileri çalmak üzere kimliği doğrulanmış Facebook oturumlarından yararlandı. Erişimi çalındıktan sonra, iş hesabını ve dolayısıyla kurban organizasyonun Meta’nın çeşitli platformlarındaki varlığını ele geçirmek için ayrıcalıklarını artırmaya çalıştı.
Raporun yazarı Mohammad Kazem Hassan Nejad, “İşletmelerin sosyal medyayı kendi çıkarları için kullanmalarına yönelik teşvikler yüksek olsa da, bu platformlar farklı amaç ve yeteneklere sahip rakiplere başka fırsatlar sunuyor” diye yazdı.
“Bu platformların sunduğu düşmanca zorluklar kapsamlı, dinamik, karmaşık ve en önemlisi zararlıdır. Örneğin, ulus devlet veya ulus destekli aktörler keşif, hedef odaklı kimlik avı, nüfuz operasyonları ve daha fazlası için bu platformlardan yararlanabilir. Ancak diğer saldırı türleri çok daha büyük kolektif hasara yol açabilir.”
Ne var ne yok?
Hassan Nejad, en son Ördek Kuyruğu kampanyasının da benzer şekilde ilerlediğini açıkladı; ancak siber suçluların kullandığı yemler bir dereceye kadar değişti ve artık üretken yapay zeka (AI) hizmetlerinin popülerliğinin artması gibi trend konuları da içeriyor. ChatGPT olarak ve bunların pazarlamacılar ve sosyal medya profesyonelleri üzerindeki olası etkileri.
Ayrıca, aralarında otomobil üreticisi BMW, kozmetik devi L’Oréal, moda evleri Fendi ve Prada’nın da bulunduğu önde gelen markalardaki kurgusal iş fırsatlarından yararlanarak, daha önce yapmadıkları bazı cazibelerin artık iş fırsatlarını merkeze almasıyla teslimat mekanizmalarını ve mağduriyetini de genişletti. perakendeciler Gap, Mango, Macy’s ve Uniqlo – bunun iş arayanlara ve serbest çalışanlara karşı kullanıldığını öne sürüyor.
Sonuçta, oturum çerezlerini ve oturum açma kimlik bilgilerini çalmaya devam ediyor ve kurbanlarının parasını veya kredisini kullanarak sahte reklam yayınlamak için hesapları ele geçiriyor; bu süreç artık bir dereceye kadar otomatikleştirilmiş, başka bir yeni özellik. Bazı durumlarda ele geçirilen hesaplar, para sızdırmak veya rakipler hakkında kötü şeyler yazmak için de kullanılıyor.
“Etkilenen işletmelerin bağlı kredi limitleri gibi mevcut yeteneklerini kullanarak sahte reklamlar yayınlamak için bu tür bir erişimden yararlanmak, finansal motivasyona sahip siber suçlular için çok daha fazla değere sahip. Hileli reklamlar yayınlamak, sahte reklamların sunulduğu mağdurlar üzerinde basamaklı bir etki yaratarak diğer tehditlerin şekillenmesine ve yayılmasına olanak tanıyor ve etkiyi etkilenen işletmenin ötesine taşıyor,” diye yazdı Hassan Nejad.
Hassan Nejad, arkasındaki grubun açıkça çok daha karmaşık ve olgun hale geldiğini ve kötü amaçlı yazılımı, anti-analiz ve tespitten kaçmasını sağlayacak özellikler kazandıracak şekilde geliştirmeye başladığını söyledi.
Ancak Ördek Kuyruğu üzerinde devam eden araştırması sırasında Hassan Nejad başka önemli gelişmeler de gözlemledi.
Özellikle, artık, oturum açmış kullanıcı kimlikleri ve X’ten oturum çerezleri gibi bilgileri toplamak için temel işlevlerini kullanarak, resmi olarak Twitter olarak bilinen hizmet olan X’teki reklam hesaplarını hedefliyor.
Belki de daha fazla endişe verici olan, WithSecure’un Duckport adını verdiği Ducktail ile önemli örtüşmelere sahip başka bir yeni kötü amaçlı yazılımın ortaya çıkmasıdır.
Bu yeni kötü amaçlı yazılıma özgü görülen bazı yetenekler arasında ekran görüntüsü alma, komuta ve kontrol zincirinde çevrimiçi not paylaşım hizmetlerinden yararlanma ve kurbanın makinelerini halka açık internetten açığa çıkarma ve bunlara erişme yeteneği yer alıyor.
Araştırmaya yardımcı olan WithSecure’dan Neeraj Singh, farklı ancak benzer grupların katılımının aynı alandaki farklı operasyonlar arasında bir miktar etkileşime işaret ettiğini öne sürdü.
Singh, “Bu çeşitli gruplar ortak bir yetenek havuzundan uzmanlık alıyor olabilir veya etkili stratejilere ilişkin araç ve görüş alışverişinde bulunmak için bir bilgi paylaşım çerçevesi içinde çalışıyor olabilirler” dedi.
“Ayrıca, hizmet olarak fidye yazılımı modeline benzer özel hizmetler sunan bir aracının potansiyel katılımı da göz ardı edilemez. Ancak alanın büyüdüğü açık ve bu da bu saldırılarla elde edilen başarı düzeyine işaret ediyor.”