Ducktail menargetkan profesional pemasaran di industri fesyen dengan kampanye terbarunya, di mana pelaku ancaman mengirimkan arsip yang berisi gambar produk asli dari perusahaan terkenal bersama dengan file executable berbahaya yang disamarkan sebagai file PDF.
Menurut laporan dari Kaspersky, setelah dieksekusi, malware tersebut membuka PDF asli yang tertanam, merinci informasi pekerjaan, dan serangan tersebut dirancang untuk menarik para profesional pemasaran yang secara aktif mencari perubahan karier.
Sasaran malware ini adalah memasang ekstensi browser yang mampu mencuri akun bisnis dan iklan Facebook, dengan tujuan untuk menjual kredensial yang dicuri.
Laporan tersebut mencatat bahwa perubahan strategis ini menunjukkan kecanggihan yang berkembang dalam teknik serangan Ducktail, yang dirancang untuk mengeksploitasi demografi profesional tertentu.
Di dalam Rutinitas Infeksi Malware Ducktail
Saat korban membuka file berbahaya, ia menyimpan skrip PowerShell (param.ps1) dan file PDF palsu ke direktori publik perangkat.
Skrip, yang dipicu oleh penampil PDF default, membuka PDF palsu, menjeda, lalu mematikan browser Chrome.
Secara bersamaan, serangan tersebut menyimpan file ekstensi browser yang menipu ke direktori Google Chrome, menyamar sebagai ekstensi Google Docs Offline. Malware dapat mengubah jalurnya untuk menghosting ekstensi.
Skrip inti yang dikaburkan secara konsisten mengirimkan detail tab browser yang terbuka ke server perintah dan kontrol (C2).
Jika URL terkait Facebook terdeteksi, ekstensi tersebut berupaya mencuri iklan dan akun bisnis, mengekstraksi cookie, dan detail akun.
Untuk melewati otentikasi dua faktor (2FA), ekstensi menggunakan permintaan API Facebook dan 2fa[.]layanan langsung dari Vietnam. Kredensial yang dicuri dikirim ke C2 yang berbasis di Vietnam.
Dalam kampanye ini, skrip tambahan (jquery-3.3.1.min.js) disimpan ke folder ekstensi, yang merupakan versi skrip inti yang rusak dari serangan sebelumnya.
Para pelaku ancaman telah mengambil pendekatan baru dengan memanfaatkan Delphi sebagai bahasa pemrogramannya, yang menyimpang dari pendekatan aplikasi .NET yang biasa mereka lakukan.
Cara Melindungi dari Serangan Siber Ducktail
Penggunaan bahasa pemrograman Delphi oleh kampanye malware Ducktail menciptakan tantangan pendeteksian bagi tim keamanan, karena perlindungan antivirus berbasis tanda tangan yang tidak biasa dari bahasa tersebut mungkin melewatkan ancaman ini.
“Untuk meningkatkan pemantauan, organisasi harus menggunakan lebih banyak analisis berbasis perilaku dan pemantauan heuristik untuk mengidentifikasi anomali yang mengindikasikan aktivitas berbahaya,” jelas Amelia Buck, analis intelijen ancaman di Menlo Security.
Dia mengatakan tim pemasaran khususnya harus dilatih untuk mengenali rekayasa sosial, mengingat serangan yang dirancang khusus untuk menyesatkan mereka.
“Mengenai taktik rekayasa sosial, file gambar produk dari merek fesyen terkenal yang tampak sah membangun kepercayaan sebelum mengirimkan PDF yang terinfeksi,” kata Buck.
Dia menunjukkan bahwa pelatihan harus memberikan saran kepada staf untuk bersikap skeptis terhadap file yang tidak diminta dari pengirim luar, menghindari mengaktifkan makro, dan memverifikasi lampiran yang tidak terduga melalui konfirmasi internal sebelum dibuka.
“Kehati-hatian harus dilakukan bahkan dengan konten yang relevan dengan pekerjaan, karena relevansi membangun kredibilitas untuk penipuan,” jelasnya. “Karyawan juga harus memeriksa alamat pengirim untuk mencari spoofing daripada berasumsi bahwa situs tersebut sah.”
Dia menambahkan bahwa komponen ekstensi browser juga memerlukan perlindungan, dan merekomendasikan agar semua staf mengaktifkan otentikasi multifaktor untuk media sosial dan akun lain yang berisi informasi sensitif.
“Namun hal ini tidak boleh diandalkan,” jelasnya. “Mereka juga harus menahan diri untuk tidak memasukkan kredensial ke dalam ekstensi pihak ketiga, mengawasi pemasangan ekstensi browser yang tidak disetujui, dan menghindari penggunaan kredensial kerja untuk penelusuran pribadi.”
Menyediakan pengelola kata sandi juga akan memperkuat keamanan akun terhadap penggunaan kembali kata sandi di seluruh akun yang disusupi.
Ancaman Terus-menerus Ducktail
Ducktail telah aktif setidaknya sejak Mei 2021 dan telah memengaruhi pengguna akun bisnis Facebook di Amerika Serikat dan lebih dari tiga lusin negara lainnya.
Operasi kejahatan siber keuangan yang berbasis di Vietnam di belakang Ducktail secara konsisten menunjukkan kemampuan beradaptasi dalam strategi serangannya.
Selain menggunakan LinkedIn sebagai sarana untuk menargetkan spear-phishing, seperti yang terjadi pada kampanye sebelumnya, grup Ducktail kini mulai menggunakan WhatsApp untuk menargetkan pengguna.
Peneliti keamanan siber baru-baru ini menemukan hubungan antara Trojan akses jarak jauh (RAT) DarkGate dan Ducktail, yang ditentukan berdasarkan penanda non-teknis seperti file umpan, pola penargetan, dan metode pengiriman.
